Editing a repository security advisory

You can edit the metadata and description for a repository security advisory if you need to update details or correct errors.

Wer kann dieses Feature verwenden?

Repositorybesitzerinnen, Organisationsbesitzerinnen, Sicherheitsmanagerinnen und Benutzerinnen mit der Administratorrolle

In diesem Artikel

Hinweis

Dieser Artikel gilt für die Bearbeitung von Empfehlungen auf Repositoryebene als Besitzer eines öffentlichen Repositorys.

Benutzer, die keine Repositorybesitzer sind, können zu globalen Sicherheitsempfehlungen in der GitHub Advisory Database unter github.com/advisories beitragen. Die Bearbeitung globaler Empfehlungen hat keine Auswirkungen auf die Darstellung der Empfehlung im Repository. Weitere Informationen finden Sie unter Editing security advisories in the GitHub Advisory Database.

Editing a security advisory

You can also use the REST API to edit repository security advisories. For more information, see REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.

  1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.

  2. Klicke unter dem Repositorynamen auf Security. Wenn die Registerkarte „Security“ nicht angezeigt wird, klicke im Dropdownmenü auf Security.

    Screenshot eines Repositoryheaders mit den Registerkarten. Die Registerkarte „Sicherheit“ ist dunkelorange umrandet.

  3. Klicke in der linken Randleiste unter „Reporting“ auf Advisories.

  4. In the "Security Advisories" list, click the name of the security advisory you'd like to edit.

  5. In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.

  6. Verwende das Dropdownmenü CVE-Bezeichner, um anzugeben, ob du bereits über einen CVE-Bezeichner verfügst oder ob du planst, später einen von GitHub anzufordern. Wenn du bereits über einen CVE-Bezeichner verfügst, wähle Ich verfüge über einen vorhandene CVE-Bezeichner aus, um das Feld Vorhandener CVE-Bezeichner anzuzeigen, und gib den CVE-Bezeichner in das Textfeld ein. Weitere Informationen finden Sie unter Informationen zu Sicherheitsempfehlungen für Repositorys.

  7. Gib im Feld Beschreibung eine Beschreibung des Sicherheitsrisikos ein, einschließlich ihrer Auswirkungen, aller verfügbaren Patches oder Problemumgehungen sowie eventueller Verweise.

  8. Gib unter „Betroffene Produkte“ das Ökosystem, den Paketnamen, die betroffenen/gepatchten Versionen und die anfälligen Funktionen für das Sicherheitsrisiko an, das dieser Sicherheitshinweis beschreibt. Falls zutreffend, kannst du mehrere betroffene Produkte zum gleichen Hinweis hinzufügen, indem du auf Ein weiteres betroffenes Produkt hinzufügen klickst.

    Informationen zur Eingabe von Informationen im Formular, einschließlich der betroffenen Versionen, findest du unter Best practices for writing repository security advisories.

  9. Definiere den Schweregrad des Sicherheitsrisikos mithilfe des Dropdownmenüs Schweregrad. Wenn du einen CVSS-Score (Common Vulnerability Scoring System) berechnen möchtest, wähle Schweregrad mithilfe von CVSS bewerten und dann die entsprechenden Werte im Rechner aus. GitHub berechnet den Score gemäß dem Common Vulnerability Scoring System Calculator.

  10. Gib unter „Schwächen“ im Feld Common Weakness Enumerator die Common Weakness Enumerators (CWEs) ein, die die mit diesem Sicherheitshinweis gemeldeten Arten von Sicherheitsschwachstellen beschreiben. Eine vollständige Liste der CWEs findest du in der Common Weakness Enumeration von MITRE.

  11. Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.

    • Use the dropdown menu next to the name of the person you're crediting to assign a credit type. For more information about credit types, see Creating a repository security advisory.

      Screenshot of a draft security advisory. A dropdown menu, labeled "Choose a credit type," is highlighted with an orange outline.

    • Optionally, to remove someone, click the next to the credit type.

  12. Click Update security advisory.

Die Personen, die im Abschnitt „Anerkennungen“ aufgeführt sind, erhalten eine E-Mail oder Webbenachrichtigung, in der sie eingeladen werden, diese zu akzeptieren. Wenn eine Person akzeptiert, wird ihr Benutzername öffentlich sichtbar, sobald die Sicherheitsempfehlung veröffentlicht wird.

Further reading