Editing a repository security advisory

You can edit the metadata and description for a repository security advisory if you need to update details or correct errors.

この機能を使用できるユーザーについて

リポジトリの所有者、組織の所有者、セキュリティ マネージャー、および 管理者 ロールを持つユーザー

この記事の内容

メモ

この記事は、パブリック リポジトリの所有者としてのリポジトリ レベルのアドバイザリの編集に適用されます。

リポジトリの所有者ではないユーザーは、github.com/advisories にある GitHub Advisory Database のグローバル セキュリティ アドバイザリに貢献できます。 グローバル アドバイザリを編集しても、リポジトリでのアドバイザリの表示方法が変更されたり、影響を受けたりすることはありません。 詳しくは、「Editing security advisories in the GitHub Advisory Database」をご覧ください。

Editing a security advisory

You can also use the REST API to edit repository security advisories. For more information, see リポジトリ セキュリティ アドバイザリ用の REST API エンドポイント.

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. 左側のサイドバーの [Reporting] で、 [Advisories] をクリックします。

  4. In the "Security Advisories" list, click the name of the security advisory you'd like to edit.

  5. In the upper-right corner of the details for the security advisory, click Edit advisory. This will open the security advisory form in edit mode.

  6. [CVE 識別子] ドロップダウン メニューを使って、CVE 識別子を既に持っているか、後で GitHub に要求する予定かを指定します。 既存の CVE 識別子がある場合は、 [既存の CVE 識別子を持っています] を選んで [既存の CVE] フィールドを表示し、そのフィールドに CVE 識別子を入力します。 詳しくは、「リポジトリ セキュリティ アドバイザリについて」をご覧ください。

  7. [説明] フィールドに、その影響、使用できるパッチまたは回避策、参照先など、このセキュリティの脆弱性の説明を入力します。

  8. [影響を受ける製品] には、このセキュリティ アドバイザリで説明するセキュリティの脆弱性について、エコシステム、パッケージ名、影響を受ける/パッチが適用されたバージョン、脆弱性のある機能を定義します。 該当する場合は、 [別の影響を受ける製品を追加する] を選んで、複数の影響を受ける製品を同じアドバイザリに追加できます。

    影響を受けるバージョンなど、フォームの情報を指定する方法については、「Best practices for writing repository security advisories」を参照してください。

  9. [重大度] ドロップダウン メニューを使って、セキュリティの脆弱性の重大度を定義します。 CVSS スコアを計算する場合は、 [CVSS を使用して重大度を評価する] を選び、計算ツールで適切な値を選びます。 GitHub は 「一般的な脆弱性スコアリング システム計算ツール」に従ってスコアを計算します。

  10. [脆弱性] の [共通脆弱性タイプ一覧] フィールドに、このセキュリティ アドバイザリが報告するセキュリティの脆弱性の種類を表す共通脆弱性タイプ一覧 (CWE) を入力します。 CWE の完全な一覧については、MITRE の「Common Weakness Enumeration」を参照してください。

  11. Optionally, under "Credits", remove existing credits, or use the search box to find additional people you want to credit on the security advisory, then click their username to add them.

    • Use the dropdown menu next to the name of the person you're crediting to assign a credit type. For more information about credit types, see Creating a repository security advisory.

      Screenshot of a draft security advisory. A dropdown menu, labeled "Choose a credit type," is highlighted with an orange outline.

    • Optionally, to remove someone, click the next to the credit type.

  12. Click Update security advisory.

[Credits] セクションに記載されているユーザは、クレジットを受け入れるように勧めるメールまたは Web 通知を受信します。 受け入れた場合、セキュリティアドバイザリが公開されると、そのユーザ名が公開されます。

Further reading