Hinweis
Wenn du Sicherheitsforscher bist, solltest du dich direkt an die Betreuer wenden und sie bitten, Sicherheitshinweise zu erstellen oder in deinem Auftrag CVEs in Repositorys zu erstellen, die nicht von dir verwaltet werden. Wenn jedoch das private Melden von Sicherheitsrisiken für das Repository aktiviert ist, können Sie selbst ein Sicherheitsrisiko privat melden. Weitere Informationen finden Sie unter Privately reporting a security vulnerability.
Creating a security advisory
You can also use the REST API to create repository security advisories. For more information, see REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.
-
Navigieren Sie auf GitHub zur Hauptseite des Repositorys.
-
Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.
-
Klicke in der linken Randleiste unter „Reporting“ auf Advisories.
-
Click New draft security advisory to open the draft advisory form. The fields marked with an asterisk are required.
-
In the Title field, type a title for your security advisory.
-
Verwende das Dropdownmenü CVE-Bezeichner, um anzugeben, ob du bereits über einen CVE-Bezeichner verfügst oder ob du planst, später einen von GitHub anzufordern. Wenn du bereits über einen CVE-Bezeichner verfügst, wähle Ich verfüge über einen vorhandene CVE-Bezeichner aus, um das Feld Vorhandener CVE-Bezeichner anzuzeigen, und gib den CVE-Bezeichner in das Textfeld ein. Weitere Informationen finden Sie unter Informationen zu Sicherheitsempfehlungen für Repositorys.
-
Gib im Feld Beschreibung eine Beschreibung des Sicherheitsrisikos ein, einschließlich ihrer Auswirkungen, aller verfügbaren Patches oder Problemumgehungen sowie eventueller Verweise.
-
Gib unter „Betroffene Produkte“ das Ökosystem, den Paketnamen, die betroffenen/gepatchten Versionen und die anfälligen Funktionen für das Sicherheitsrisiko an, das dieser Sicherheitshinweis beschreibt. Falls zutreffend, kannst du mehrere betroffene Produkte zum gleichen Hinweis hinzufügen, indem du auf Ein weiteres betroffenes Produkt hinzufügen klickst.
Informationen zur Eingabe von Informationen im Formular, einschließlich der betroffenen Versionen, findest du unter Best practices for writing repository security advisories.
-
Definiere den Schweregrad des Sicherheitsrisikos mithilfe des Dropdownmenüs Schweregrad. Wenn du einen CVSS-Score (Common Vulnerability Scoring System) berechnen möchtest, wähle Schweregrad mithilfe von CVSS bewerten und dann die entsprechenden Werte im Rechner aus. GitHub berechnet den Score gemäß dem Common Vulnerability Scoring System Calculator.
-
Gib unter „Schwächen“ im Feld Common Weakness Enumerator die Common Weakness Enumerators (CWEs) ein, die die mit diesem Sicherheitshinweis gemeldeten Arten von Sicherheitsschwachstellen beschreiben. Eine vollständige Liste der CWEs findest du in der Common Weakness Enumeration von MITRE.
-
Optionally, under "Credits", add credits by searching for a GitHub username, the email address associated with their GitHub account, or their full name.
-
Use the dropdown menu next to the name of the person you're crediting to assign a credit type. For more information about credit types, see the About credits for repository security advisories section.
-
Optionally, to remove someone, click next to the credit type.
-
-
Click Create draft security advisory.
Die Personen, die im Abschnitt „Anerkennungen“ aufgeführt sind, erhalten eine E-Mail oder Webbenachrichtigung, in der sie eingeladen werden, diese zu akzeptieren. Wenn eine Person akzeptiert, wird ihr Benutzername öffentlich sichtbar, sobald die Sicherheitsempfehlung veröffentlicht wird.
About credits for repository security advisories
You can credit people who helped discover, report, or fix a security vulnerability. If you credit someone, they can choose to accept or decline credit.
You can assign different types of credit to people.
| Credit type | Reason |
|---|---|
| Finder | Identifies the vulnerability |
| Reporter | Notifies the vendor of the vulnerability to a CNA |
| Analyst | Validates the vulnerability to ensure accuracy or severity |
| Coordinator | Facilitates the coordinated response process |
| Remediation developer | Prepares a code change or other remediation plans |
| Remediation reviewer | Reviews vulnerability remediation plans or code changes for effectiveness and completeness |
| Remediation verifier | Tests and verifies the vulnerability or its remediation |
| Tool | Names of tools used in vulnerability discovery or identification |
| Sponsor | Supports the vulnerability identification or remediation activities |
If someone accepts credit, the person's username appears in the "Credits" section of the security advisory. Anyone with read access to the repository can see the advisory and the people who accepted credit for it.
Hinweis
If you believe you should be credited for a security advisory, please contact the creator of the advisory and to ask for the advisory to be edited to include your credit. Only the creator of the advisory can credit you, so please don't contact GitHub Support about credits for security advisories.
Next steps
- Comment on the draft security advisory to discuss the vulnerability with your team.
- Add collaborators to the security advisory. For more information, see Adding a collaborator to a repository security advisory.
- Privately collaborate to fix the vulnerability in a temporary private fork. For more information, see Collaborating in a temporary private fork to resolve a repository security vulnerability.
- Add individuals who should receive credit for contributing to the security advisory. For more information, see Editing a repository security advisory.
- Publish the security advisory to notify your community of the security vulnerability. For more information, see Publishing a repository security advisory.