发布存储库安全公告

您可以发布安全通告,向社区提醒项目中的安全漏洞。

谁可以使用此功能?

具有管理员角色的存储库所有者、组织所有者、安全管理员和用户

在本文中

注意

本文适用于公共存储库中的存储库级别安全公告。 要在 GitHub Advisory Database 中编辑全局安全公告,请参阅 在 GitHub Advisory Database 中编辑安全公告

先决条件

在发布安全通告或申请 CVE 标识号之前,必须创建安全通告草稿,并提供受安全漏洞影响的项目版本的相关信息。 请参阅“创建存储库安全公告”和“编辑存储库安全通告”。

发布安全通告

警告

在发布公告之前,应尽可能将修补程序版本添加到安全公告中。 如果不这样做,公告将在没有修复版本的情况下发布,并且 Dependabot 会向用户发出警报,但不会提供可更新的安全版本

  1. 在 GitHub 上,导航到存储库的主页面。1. 在仓库名称下,单击 “Security”。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “安全性”选项卡以深橙色边框突出显示。
    1. 在左边栏中的“Reporting”下,单击 “Advisories”

  2. 在“安全通告”列表中,单击要发布的安全通告的名称。

  3. 滚动到通告窗体的底部,然后单击发布通告

    • 如果选择了“稍后申请 CVE ID”,将会看到申请 CVE 按钮而非发布通告按钮。

    页面的“已提供所需通告信息”区域的屏幕截图。 “发布通告”按钮用橙色框出。

注意

发布安全通告会删除该安全通告的临时私有复刻。

申请 CVE 识别号(可选)

如果项目中还没有安全漏洞的 CVE 标识号,可以从 GitHub请求一个。

  1. 在 GitHub 上,导航到存储库的主页面。1. 在仓库名称下,单击 “Security”。 如果看不到“Security”选项卡,请选择 下拉菜单,然后单击“Security”********。

    存储库标头的屏幕截图,其中显示了选项卡。 “安全性”选项卡以深橙色边框突出显示。
    1. 在左边栏中的“Reporting”下,单击 “Advisories”

  2. 在“安全通告”列表中,单击要为其申请 CVE 识别号的安全通告的名称。

  3. 滚动到通告窗体的底部,然后单击申请 CVE

    页面的“已提供所需通告信息”区域的屏幕截图。 “申请 CVE”按钮用深橙色框出。

延伸阅读

  •         [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/deleting-a-repository-security-advisory)