注意
本文适用于作为公共代码库所有者编辑代码库级公告。
非代码库所有者用户可以在 GitHub 安全公告数据库中为全局安全公告做出贡献,网址为 github.com/advisories。对全局公告的编辑不会更改或影响公告在代码库中的显示方式。有关更多信息,请参阅“在 GitHub 安全公告数据库中编辑安全公告”。
编辑安全公告
您还可以使用 REST API 编辑代码库安全公告。有关更多信息,请参阅“代码库安全公告的 REST API 端点”。
-
在 GitHub 上,导航到代码库的主页。
-
在代码库名称下,单击 ** 安全**。如果您看不到“安全”选项卡,请选择 **** 下拉菜单,然后单击 **安全**。
-
在左侧边栏的“报告”下,单击 ** 公告**。
-
在“安全公告”列表中,单击要编辑的安全公告的名称。
-
在安全公告详细信息的右上角,单击 **编辑公告**。这将在编辑模式下打开安全公告表单。
-
使用 **CVE 标识符** 下拉菜单指定您是否已经拥有 CVE 标识符或计划稍后从 GitHub 请求一个。如果您拥有现有的 CVE 标识符,请选择 **我已拥有现有的 CVE 标识符** 以显示 **现有 CVE** 字段,并在该字段中键入 CVE 标识符。有关更多信息,请参阅“关于代码库安全公告”。
-
在 **描述** 字段中,键入安全漏洞的描述,包括其影响、任何可用的补丁或解决方法以及任何参考。
-
在“受影响的产品”下,为本安全公告描述的安全漏洞定义生态系统、包名、受影响/已修补的版本和易受攻击的功能。如果适用,您可以通过单击 **添加另一个受影响的产品** 将多个受影响的产品添加到同一公告中。
有关如何在表单上指定信息(包括受影响的版本)的信息,请参阅“编写代码库安全公告的最佳实践”。
-
使用**严重性**下拉菜单定义安全漏洞的严重性。如果要计算 CVSS 分数,请选择**使用 CVSS 评估严重性**,然后在**计算器**中选择适当的值。GitHub 会根据通用漏洞评分系统计算器计算分数。
-
在“弱点”下,在**常见弱点枚举器**字段中,键入描述此安全公告报告的安全弱点类型的常见弱点枚举器 (CWE)。有关 CWE 的完整列表,请参阅 MITRE 的常见弱点枚举。
-
可选:在“贡献者”下,删除现有贡献者,或使用搜索框查找您想在安全公告中额外感谢的人员,然后单击其用户名将其添加。
-
使用您要感谢的人员姓名旁边的下拉菜单来分配贡献者类型。有关贡献者类型的更多信息,请参阅创建代码库安全公告。
-
可选:要删除某人,请单击贡献者类型旁边的。
-
-
单击**更新安全公告**。
列在“贡献者”部分的人员将收到一封电子邮件或网络通知,邀请他们接受感谢。如果某人接受,则一旦发布安全公告,他们的用户名将公开可见。