注意
本文适用于公共仓库中的仓库级安全建议。要编辑 GitHub Advisory Database 中的全局建议,请参阅 在 GitHub Advisory Database 中编辑安全建议。
编辑安全公告
您也可以使用 REST API 来编辑仓库安全公告。更多信息,请参阅 仓库安全公告的 REST API 端点。
-
在 GitHub 上,导航至仓库的主页面。
-
在仓库名称下,点击 安全与质量 选项卡。如果您看不到 “安全与质量选项卡,选择 下拉菜单,然后点击 安全与质量。
-
在左侧边栏的 “报告” 下,点击 安全建议。
-
在 “安全公告” 列表中,点击您想要编辑的安全公告的名称。
-
在安全公告详情的右上角,点击 编辑公告。这将以编辑模式打开安全公告表单。
-
使用 CVE 标识符 下拉菜单指定您是否已有 CVE 标识符,或计划稍后向 GitHub 请求。如果您已有现有的 CVE 标识符,请选择 我已有 CVE 标识符,以显示 现有 CVE 字段,然后在该字段中输入 CVE 标识符。更多信息,请参阅 关于仓库安全公告。
-
在 描述 字段中,输入安全漏洞的描述,包括其影响、可用的补丁或解决方法以及任何参考资料。
-
在 “受影响的产品” 下,定义该安全漏洞所涉及的生态系统、软件包名称、受影响/已修补的版本以及易受攻击的函数。如果适用,您可以通过点击 添加另一个受影响的产品 来向同一公告中添加多个受影响的产品。
有关在表单上填写信息(包括受影响版本)的说明,请参阅 编写仓库安全公告的最佳实践。
-
使用 严重程度 下拉菜单定义安全漏洞的严重性。如果您想计算 CVSS 分数,请选择 使用 CVSS 评估严重性,然后在 计算器 中选择相应的值。GitHub 根据 通用漏洞评分系统(CVSS)计算器 计算分数。
-
在 “弱点” 下的 通用弱点枚举器 字段中,输入描述本安全公告所报告的安全弱点类型的通用弱点枚举(CWE)。完整的 CWE 列表请参阅 MITRE 提供的 通用弱点枚举(Common Weakness Enumeration)。
-
可选地,在 “致谢” 下,删除已有的致谢,或使用搜索框查找您想在安全公告中致谢的其他人员,然后点击他们的用户名以添加。
-
使用与受致谢人姓名相邻的下拉菜单分配致谢类型。有关致谢类型的更多信息,请参阅 创建仓库安全公告。
-
可选地,要移除某人,请点击致谢类型旁边的
-
-
点击 更新安全公告。
在 “致谢” 部分列出的人将收到电子邮件或网页通知,邀请他们接受致谢。如果有人接受,等安全公告发布后,他们的用户名将公开显示。