Privately reporting a security vulnerability

パブリックリポジトリの所有者と管理者は、リポジトリでプライベート脆弱性レポートを有効にすることができます。詳しくは、「Configuring private vulnerability reporting for a repository」をご覧ください。

メモ

If you have admin or security permissions for a public repository, you don't need to submit a vulnerability report. Instead, you can create a draft security advisory directly. For more information, see Creating a repository security advisory.
The ability to privately report a vulnerability in a repository is not related to the presence of a SECURITY.md file in that repository's root or docs directory.
- The SECURITY.md file contains the security policy for the repository. Repository administrators can add and use this file to provide public instructions for how to report a security vulnerability in their repository. For more information, see Adding a security policy to your repository.
- You can only report a vulnerability privately for repositories where private vulnerability reporting is enabled, and you don't have to follow the instructions in the SECURITY.md file. This reporting process is fully private, and GitHub notifies the repository administrators directly about your submission.

About privately reporting a security vulnerability

Security researchers often feel responsible for alerting users to a vulnerability that could be exploited. If there are no clear instructions about contacting maintainers of the repository containing the vulnerability, security researchers may have no other choice but to post about the vulnerability on social media, send direct messages to the maintainer, or even create public issues. This situation can potentially lead to a public disclosure of the vulnerability details.

Private vulnerability reporting makes it easy for security researchers to report vulnerabilities directly to the repository maintainer using a simple form.

For security researchers, the benefits of using private vulnerability reporting are:

Less frustration, and less time spent trying to figure out how to contact the maintainer.
A smoother process for disclosing and discussing vulnerability details.
The opportunity to discuss vulnerability details privately with the repository maintainer.

メモ

リポジトリでプライベート脆弱性レポートが有効になっていない場合は、リポジトリのセキュリティポリシーの手順に従ってレポートプロセスを開始するか、優先されるセキュリティ連絡先を保守担当者に尋ねる issue を作成する必要があります。詳しくは、「セキュリティ脆弱性の調整された開示について」をご覧ください。

If a public repository has private vulnerability reporting enabled, anyone can privately report a security vulnerability to repository maintainers. Users can also evaluate the general security of a public repository and suggest a security policy. For more information, see Evaluating the security settings of a repository.

GitHub で、リポジトリのメインページに移動します。
リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、ドロップダウンメニューを選んでから、[Security] をクリックします。
[脆弱性の報告] をクリックして、アドバイザリフォームを開きます。
アドバイザリの詳細フォームに入力します。

ヒント

このフォームでは、タイトルと説明のみが必須です。 (リポジトリの保守担当者が開始する一般的なドラフトセキュリティアドバイザリフォームでは、エコシステムを指定する必要もあります)。ただし、セキュリティリサーチャーは、送信されたレポートに関して保守担当者が情報に基づいた意思決定を行えるように、フォームにできるだけ多くの情報を提供することをお勧めします。 GitHub のセキュリティ研究者が使ったテンプレートを、github/securitylab リポジトリで利用できる GitHub Security Lab から採用できます。

使用可能なフィールドの詳細と、フォームの入力に関するガイダンスについては、「Creating a repository security advisory」と「Best practices for writing repository security advisories」を参照してください。
フォームの下部にある [レポートの送信] をクリックします。 GitHub には、保守担当者に通知されたことと、このセキュリティアドバイザリの保留中のクレジットがあることを知らせるメッセージが表示されます。

ヒント

レポートが送信されると、GitHub によって、コラボレーターとして、また提案されたアドバイザリのクレジットユーザーとして脆弱性の報告者が自動的に追加されます。
必要に応じて、issue の解決を開始する場合は、 [一時的なプライベートフォークを開始する] をクリックします。そのプライベートフォークからの変更を親リポジトリにマージできるのは、リポジトリメンテナだけです。

The next steps depend on the action taken by the repository maintainer. For more information, see Managing privately reported security vulnerabilities.

Privately reporting a security vulnerability

この機能を使用できるユーザーについて

この記事の内容

About privately reporting a security vulnerability

Privately reporting a security vulnerability