GitHub Advisory Database でのセキュリティ アドバイザリの編集

GitHub Advisory Database で公開されているアドバイザリの改善案を送信するには、コミュニティ コントリビューションを行います。

GitHub Advisory Database でのアドバイザリの編集

GitHub Advisory Database のアドバイザリはグローバル セキュリティ アドバイザリです。 グローバル セキュリティ アドバイザリついて詳細については、「グローバル セキュリティ アドバイザリについて」を参照してください。

コミュニティ コントリビューションを行うことで、誰でも GitHub Advisory Database でグローバル セキュリティ アドバイザリの改善を提案できます。 コミュニティ コントリビューションは、グローバル セキュリティ アドバイザリの内容を改善するために、github/advisory-database リポジトリに送信される pull request です。 コミュニティ コントリビューションを行う場合、その他の影響を受けるエコシステム、重大度レベル、影響を受けるユーザーの説明など、詳細を編集または追加できます。 送信したコントリビューションは、GitHub Security Lab キュレーション チームが確認し、承認した場合に GitHub Advisory Database に公開されます。

コミュニティ コントリビューションが承認され、公開されると、コミュニティ コントリビューション pull request を送信したユーザーには、自動的に "Analyst" というクレジットの種類が割り当てられます。 詳細については、「リポジトリ セキュリティ アドバイザリの作成」を参照してください。

リポジトリ レベルのセキュリティ アドバイザリを編集できるのは、リポジトリの所有者と管理者だけです。 詳細については、「リポジトリ セキュリティ アドバイザリの編集」を参照してください。

  1. https://github.com/advisories に移動します。
  2. コントリビュートするセキュリティ アドバイザリを選びます。
  3. ページの右側にある [この脆弱性に対する改善の提案] リンクをクリックします。
  4. [セキュリティ アドバイザリの改善] フォームで、必要な改善を行います。 必要に応じて詳細を編集または追加できます。 影響を受けるバージョンを含め、フォームに情報を正しく指定する方法については、「リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス」を参照してください。
  5. [変更の理由] で、この改善を行う理由を説明します。 裏付けとなる資料のリンクを含めていただけると、レビュー担当者の役に立ちます。
  6. アドバイザリの編集が完了したら、 [改善の送信] をクリックします。
  7. コミュニティ コントリビューションを送信すると、GitHub Security Lab キュレーション チームによって、github/advisory-database でその変更を含む pull request がレビュー用に作成されます。 アドバイザリが GitHub リポジトリから作成された場合は、元の発行元にオプションの注釈のタグも付けられます。 pull request を表示し、それが更新またはクローズされたときに通知を受け取ることができます。

github/advisory-database リポジトリのアドバイザリ ファイルで pull request を直接開くこともできます。 詳しくは、コントリビューション ガイドラインに関するページをご覧ください。