Editing a repository security advisory

You can edit the metadata and description for a repository security advisory if you need to update details or correct errors.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Примечание.

Данная статья относится к рекомендациям по безопасности на уровне репозитория в публичном репозитории. Для редактирования глобального предупреждения в GitHub Advisory Database см. Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Editing a security advisory

You can also use the REST API to edit repository security advisories. For more information, see Конечные точки REST API для помощников по безопасности репозитория.

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

  4. In the "Security Advisories" list, click the name of the security advisory you'd like to edit.

  5. In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.

  6. Используйте раскрывающееся меню идентификатора CVE, чтобы указать, имеется ли идентификатор CVE или планируется запросить один из GitHub позже. Если у вас есть идентификатор CVE, выберите имеющийся идентификатор CVE, чтобы отобразить **** существующее поле CVE и введите идентификатор CVE в поле. Дополнительные сведения см. в разделе Рекомендации по безопасности репозитория.

  7. В поле "Описание" введите описание уязвимости безопасности, включая его влияние, все исправления или обходные пути, доступные и все ссылки.

  8. В разделе "Затронутые продукты" определите экосистему, имя пакета, затронутые или исправленные версии и уязвимые функции для уязвимости безопасности, описываемой этим советом по безопасности. Если применимо, вы можете добавить несколько затронутых продуктов в те же рекомендации, нажав кнопку "Добавить другой затронутый продукт".

    Сведения об указании сведений о форме, включая затронутые версии, см. в разделе Рекомендации по написанию рекомендаций по безопасности репозитория.

  9. Определите серьезность уязвимости безопасности с помощью раскрывающегося меню "Серьезность ". Если вы хотите вычислить оценку CVSS, выберите "Оценка серьезности" с помощью CVSS, а затем выберите соответствующие значения в калькуляторе****. GitHub вычисляет оценку в соответствии с калькулятором системы оценки распространенных уязвимостей.

  10. В разделе "Слабые места" в поле "**Общие перечислители слабых мест" введите **распространенные перечислители слабых мест (CWEs), описывающие типы слабых мест безопасности, которые эти рекомендации по безопасности сообщают. Полный список CWEs см. в разделе " Общее перечисление слабых мест " из MITRE.

  11. Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.

  12. Click Update security advisory.

Люди, указанные в разделе "Credits" (Благодарности), получат электронное письмо или веб-уведомление с приглашением принять благодарность. Если человек принимает это приглашение, его имя пользователя станет общедоступным после публикации рекомендации по безопасности.

Further reading