Remarque
Si vous êtes chercheur en sécurité, vous devez contacter directement les mainteneurs pour leur demander de créer des avis de sécurité ou d’émettre des CVE en votre nom dans les dépôts que vous n’administrez pas. Toutefois, si les rapports de vulnérabilités privés sont activés pour le dépôt, vous pouvez signaler vous-même une vulnérabilité en privé. Pour plus d’informations, consultez « Privately reporting a security vulnerability ».
Creating a security advisory
You can also use the REST API to create repository security advisories. For more information, see Points de terminaison d’API REST pour les avis de sécurité de référentiels.
-
Sur GitHub, accédez à la page principale du référentiel.
-
Sous le nom du référentiel, cliquez sur Sécurité. Si vous ne voyez pas l’onglet « Sécurité », sélectionnez le menu déroulant et cliquez sur Sécurité.
-
Dans la barre latérale gauche, sous « Rapports », cliquez sur Avis.
-
Click New draft security advisory to open the draft advisory form. The fields marked with an asterisk are required.
-
In the Title field, type a title for your security advisory.
-
Utilisez le menu déroulant Identificateur CVE pour spécifier si vous disposez déjà d’un identificateur CVE ou si vous prévoyez d’en demander un à GitHub ultérieurement. Si vous disposez d’un identificateur CVE existant, sélectionnez J’ai un identificateur CVE existant pour afficher un champ CVE existant, puis tapez l’identificateur CVE dans le champ. Pour plus d’informations, consultez « À propos des avis de sécurité des référentiels ».
-
Dans le champ Description, tapez une description de la vulnérabilité de sécurité, y compris son impact, tous les correctifs ou solutions de contournement disponibles et toutes les références.
-
Sous « Produits affectés », définissez l’écosystème, le nom du package, les versions affectées/corrigées et les fonctions vulnérables pour la vulnérabilité de sécurité décrite dans cet avis de sécurité. Le cas échéant, vous pouvez ajouter plusieurs produits affectés au même avis en cliquant sur Ajouter un autre produit affecté.
Pour plus d’informations sur la façon de spécifier des informations sur le formulaire, y compris les versions affectées, consultez Best practices for writing repository security advisories.
-
Définissez la gravité de la vulnérabilité de sécurité à l’aide du menu déroulant Gravité. Si vous souhaitez calculer un score CVSS, sélectionnez Évaluer la gravité à l’aide de CVSS, puis sélectionnez les valeurs appropriées dans le calculateur. GitHub calcule le score en fonction du Calculateur du système commun d'évaluation des vulnérabilités.
-
Sous « Faiblesses », dans le champ Énumérateur de faiblesse commun, tapez les énumérateurs de faiblesse communs (SCF) qui décrivent les types de faiblesses de sécurité signalés par cet avis de sécurité. Pour obtenir la liste complète des énumérateurs de failles courantes, consultez la section Common Weakness Enumeration de MITRE.
-
Optionally, under "Credits", add credits by searching for a GitHub username, the email address associated with their GitHub account, or their full name.
-
Use the dropdown menu next to the name of the person you're crediting to assign a credit type. For more information about credit types, see the About credits for repository security advisories section.
-
Optionally, to remove someone, click next to the credit type.
-
-
Click Create draft security advisory.
Les personnes listées dans la section « Crédits » recevront un e-mail ou une notification web les invitant à accepter le crédit. Si une personne accepte, son nom d’utilisateur est visible publiquement une fois que l’avis de sécurité est publié.
About credits for repository security advisories
You can credit people who helped discover, report, or fix a security vulnerability. If you credit someone, they can choose to accept or decline credit.
You can assign different types of credit to people.
| Credit type | Reason |
|---|---|
| Finder | Identifies the vulnerability |
| Reporter | Notifies the vendor of the vulnerability to a CNA |
| Analyst | Validates the vulnerability to ensure accuracy or severity |
| Coordinator | Facilitates the coordinated response process |
| Remediation developer | Prepares a code change or other remediation plans |
| Remediation reviewer | Reviews vulnerability remediation plans or code changes for effectiveness and completeness |
| Remediation verifier | Tests and verifies the vulnerability or its remediation |
| Tool | Names of tools used in vulnerability discovery or identification |
| Sponsor | Supports the vulnerability identification or remediation activities |
If someone accepts credit, the person's username appears in the "Credits" section of the security advisory. Anyone with read access to the repository can see the advisory and the people who accepted credit for it.
Remarque
If you believe you should be credited for a security advisory, please contact the creator of the advisory and to ask for the advisory to be edited to include your credit. Only the creator of the advisory can credit you, so please don't contact GitHub Support about credits for security advisories.
Next steps
- Comment on the draft security advisory to discuss the vulnerability with your team.
- Add collaborators to the security advisory. For more information, see Adding a collaborator to a repository security advisory.
- Privately collaborate to fix the vulnerability in a temporary private fork. For more information, see Collaborating in a temporary private fork to resolve a repository security vulnerability.
- Add individuals who should receive credit for contributing to the security advisory. For more information, see Editing a repository security advisory.
- Publish the security advisory to notify your community of the security vulnerability. For more information, see Publishing a repository security advisory.