注意
如果您是安全研究人员,您应该直接联系维护人员,请他们代表您在您不管理的代码库中创建安全公告或发布 CVE。但是,如果已为代码库启用了私有漏洞报告,则您可以_私下_自行报告漏洞。有关更多信息,请参阅“私下报告安全漏洞”。
创建安全公告
您还可以使用 REST API 创建代码库安全公告。有关更多信息,请参阅“代码库安全公告的 REST API 端点”。
-
在 GitHub 上,导航到代码库的主页。
-
在代码库名称下,单击 安全。如果您看不到“安全”选项卡,请选择下拉菜单,然后单击安全。
-
在左侧边栏的“报告”下,单击 公告。
-
单击新建安全公告草稿以打开草稿公告表单。标有星号的字段是必填字段。
-
在标题字段中,键入安全公告的标题。
-
使用CVE 标识符下拉菜单指定您是否已经拥有 CVE 标识符或计划稍后从 GitHub 请求一个。如果您有现有的 CVE 标识符,请选择我有一个现有的 CVE 标识符以显示现有 CVE字段,并在该字段中键入 CVE 标识符。有关更多信息,请参阅“关于代码库安全公告”。
-
在说明字段中,键入安全漏洞的说明,包括其影响、任何可用的补丁或解决方法以及任何参考。
-
在“受影响的产品”下,为该安全公告所描述的安全漏洞定义生态系统、包名称、受影响/已修补的版本和易受攻击的功能。如果适用,您可以通过单击添加另一个受影响的产品将多个受影响的产品添加到同一公告中。
有关如何指定表单信息的更多信息(包括受影响的版本),请参阅“编写代码库安全公告的最佳实践”。
-
使用严重性下拉菜单定义安全漏洞的严重性。如果您想计算 CVSS 分数,请选择使用 CVSS 评估严重性,然后在计算器中选择适当的值。GitHub 会根据通用漏洞评分系统计算器计算分数。
-
在“弱点”下的常见弱点枚举器字段中,键入描述此安全公告报告的安全弱点类型的常见弱点枚举器 (CWE)。有关 CWE 的完整列表,请参阅 MITRE 的“常见弱点枚举”。
-
可选地,在“信用”下,通过搜索 GitHub 用户名、与其 GitHub 帐户关联的电子邮件地址或其全名来添加信用。
-
使用您要感谢的人员姓名旁边的下拉菜单分配信用类型。有关信用类型的更多信息,请参阅关于代码库安全公告的信用部分。
-
或者,要删除某人,请单击信用类型旁边的。
-
-
单击创建安全公告草稿。
“信用”部分中列出的人员将收到一封电子邮件或网络通知,邀请他们接受信用。如果某人接受,则一旦发布安全公告,他们的用户名将公开可见。
关于代码库安全公告的信用
您可以感谢帮助发现、报告或修复安全漏洞的人员。如果您感谢某人,他们可以选择接受或拒绝信用。
您可以为人员分配不同类型的信用。
| 信用类型 | 原因 |
|---|---|
| 发现者 | 识别漏洞 |
| 报告者 | 将漏洞通知供应商或 CNA |
| 分析师 | 验证漏洞以确保准确性或严重性 |
| 协调员 | 促进协调响应流程 |
| 修复开发人员 | 准备代码更改或其他修复计划 |
| 修复审查者 | 审查漏洞修复计划或代码更改的有效性和完整性 |
| 修复验证者 | 测试和验证漏洞或其修复 |
| 工具 | 漏洞发现或识别中使用的工具名称 |
| 赞助商 | 支持漏洞识别或修复活动 |
如果某人接受信用,则该人的用户名将显示在安全公告的“信用”部分中。任何具有代码库读取权限的人员都可以看到公告以及接受其信用的人员。
注意
如果您认为应该获得安全公告的信用,请联系公告的创建者并请求编辑公告以包含您的信用。只有公告的创建者才能为您提供信用,因此请勿联系 GitHub 支持寻求安全公告的信用。
后续步骤
- 评论安全公告草稿,与您的团队讨论漏洞。
- 向安全公告添加协作者。有关更多信息,请参阅“向代码库安全公告添加协作者”。
- 私下协作以在临时的私有分支中修复漏洞。有关更多信息,请参阅“在临时的私有分支中协作以解决代码库安全漏洞”。
- 添加应该获得为安全公告做出贡献的信用的人员。有关更多信息,请参阅“编辑代码库安全公告”。
- 发布安全公告以通知您的社区安全漏洞。有关更多信息,请参阅“发布代码库安全公告”。