セキュリティの脆弱性を非公開で報告する

一部のパブリック リポジトリでは、セキュリティ アドバイザリを構成して、誰もがセキュリティの脆弱性を直接、または非公開で保守担当者に報告できるようにします。

この機能を使用できるユーザーについて

Anyone can privately report a security vulnerability to repository maintainers.

パブリック リポジトリの所有者と管理者は、リポジトリでプライベート脆弱性レポートを有効にすることができます。 詳しくは、「リポジトリのプライベート脆弱性レポートの構成」をご覧ください。

メモ

  • パブリック リポジトリの管理者またはセキュリティのアクセス許可がある場合は、脆弱性レポートを送信する必要はありません。 代わりに、ドラフト セキュリティ アドバイザリを直接作成します。 「リポジトリ セキュリティ アドバイザリの作成」を参照してください。
  • プライベート脆弱性レポートは、リポジトリの SECURITY.md ファイルとは別です。 この機能が有効になっているリポジトリの脆弱性のみを非公開で報告でき、 SECURITY.mdの手順に従う必要はありません。

パブリック リポジトリでプライベート脆弱性レポートが有効になっている場合、誰でもリポジトリの保守担当者にプライベート脆弱性レポートを送信できます。 また、パブリック リポジトリの一般的なセキュリティを評価して、セキュリティ ポリシーを提案することもできます。 「リポジトリのセキュリティ設定を評価する」を参照してください。

リポジトリでプライベート脆弱性レポートが有効になっていない場合は、リポジトリのセキュリティ ポリシーの手順に従うか、または優先セキュリティ連絡先を保守担当者に要求する問題を作成して、レポート プロセスを開始する必要があります。 「セキュリティ脆弱性の調整された開示について」を参照してください。

  1. GitHub で、リポジトリのメイン ページに移動します。

  2. リポジトリ名の下にある [Security] をクリックします。 [Security] タブが表示されない場合は、 ドロップダウン メニューを選んでから、[Security] をクリックします。

    タブを示すリポジトリ ヘッダーのスクリーンショット。 [セキュリティ] タブが濃いオレンジ色の枠線で強調表示されています。

  3. [脆弱性の報告] をクリックして、アドバイザリ フォームを開きます。

  4. アドバイザリの詳細フォームに入力します。

    ヒント

    このフォームでは、タイトルと説明のみが必須です。 (リポジトリの保守担当者が開始する一般的なドラフト セキュリティ アドバイザリ フォームでは、エコシステムを指定する必要もあります)。ただし、セキュリティ リサーチャーは、送信されたレポートに関して保守担当者が情報に基づいた意思決定を行えるように、フォームにできるだけ多くの情報を提供することをお勧めします。 GitHub のセキュリティ研究者が使ったテンプレートを、github/securitylab リポジトリで利用できる GitHub Security Lab から採用できます。

    使用可能なフィールドの詳細と、フォームの入力に関するガイダンスについては、「リポジトリ セキュリティ アドバイザリの作成」と「リポジトリ セキュリティ アドバイザリを作成するためのベスト プラクティス」を参照してください。

  5. フォームの下部にある [レポートの送信] をクリックします。 GitHub には、保守担当者に通知されたことと、このセキュリティ アドバイザリの保留中のクレジットがあることを知らせるメッセージが表示されます。

    ヒント

    レポートが送信されると、GitHub によって、コラボレーターとして、また提案されたアドバイザリのクレジット ユーザーとして脆弱性の報告者が自動的に追加されます。

  6. 必要に応じて、issue の解決を開始する場合は、 [一時的なプライベート フォークを開始する] をクリックします。 そのプライベート フォークからの変更を親リポジトリにマージできるのは、リポジトリ メンテナだけです。

    セキュリティ アドバイザリの下部のスクリーンショット。 [一時的なフォークを開始する] というラベルが付いたボタンが濃いオレンジ色の枠線で囲まれています。

次の手順は、リポジトリの保守担当者によって実行されるアクションによって異なります。 「非公開で報告されたセキュリティの脆弱性の管理」を参照してください。