Публикация рекомендаций по безопасности репозитория

Вы можете опубликовать рекомендации по безопасности, чтобы информировать сообщество об уязвимости безопасности в проекте.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Примечание.

Данная статья относится к рекомендациям по безопасности на уровне репозитория в публичном репозитории. Для редактирования глобального предупреждения в GitHub Advisory Database см. Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Необходимые условия

Прежде чем публиковать рекомендацию по безопасности или запрашивать идентификационный номер CVE, необходимо создать черновик рекомендации по безопасности и предоставить сведения о версиях проекта, затронутых уязвимостью. См. Создание рекомендаций по безопасности репозитория и Editing a repository security advisory.

Публикация рекомендаций по безопасности

Предупреждение

По возможности следует добавить исправленную версию в предупреждение по безопасности перед его публикацией. Если вы этого не сделаете, предупреждение будет опубликовано без исправленной версии и Dependabot уведомит пользователей о проблеме без предоставления безопасной версии для обновления.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

  4. В списке "Помощники по безопасности" щелкните имя рекомендаций по безопасности, которые вы хотите опубликовать.

  5. Прокрутите страницу до нижней части консультативной формы и нажмите кнопку "Опубликовать рекомендации".

    • Если вы выбрали "Запросить идентификатор CVE позже", вместо кнопки "Опубликовать рекомендации **" появится **кнопка "Запрос CVE".

    Снимок экрана: область "Необходимые консультативные сведения" страницы. Кнопка "Опубликовать рекомендации" описывается оранжевым цветом.

Примечание.

Публикация рекомендации по безопасности удаляет временную частную вилку для этой рекомендации.

Запрос идентификационного номера CVE (необязательно)

Если у вас ещё нет CVE-идентификационного номера для уязвимости безопасности в вашем проекте, вы можете запросить его у GitHub.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

  4. В списке "Помощники по безопасности" щелкните имя рекомендации по безопасности, для которых вы хотите запросить идентификационный номер CVE.

  5. Прокрутите страницу до нижней части консультативной формы и нажмите кнопку "Запросить CVE".

    Снимок экрана: область "Необходимые консультативные сведения" страницы. Кнопка "Запрос CVE" выделена темно-оранжевым цветом.

Дополнительные материалы