Примечание.
Если вы являетесь исследователем безопасности, вы должны напрямую связаться с сотрудниками, чтобы попросить их создать советы по безопасности или выдавать cvEs от вашего имени в репозиториях, которые вы не администрируете. Однако если для репозитория включена частная отчетность об уязвимостях, вы можете самостоятельно сообщить об уязвимости. Дополнительные сведения см. в разделе Приватный отчет об уязвимости безопасности.
Создание рекомендаций по безопасности
-
На GitHubперейдите на главную страницу репозитория.
-
Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.
-
В левой боковой панели в разделе "Отчеты" щелкните Помощники.
-
Щелкните Новый проект рекомендаций по безопасности, чтобы открыть проект консультативной формы. Поля, помеченные звездочкой, обязательны.
-
**В поле "Заголовок" введите заголовок** для рекомендаций по безопасности. -
Используйте раскрывающееся меню идентификатора CVE, чтобы указать, имеется ли идентификатор CVE или планируется запросить один из GitHub позже. Если у вас есть идентификатор CVE, выберите имеющийся идентификатор CVE, чтобы отобразить **** существующее поле CVE и введите идентификатор CVE в поле. Дополнительные сведения см. в разделе Сведения о помощниках по безопасности репозитория.
-
В поле "Описание" введите описание уязвимости безопасности, включая его влияние, все исправления или обходные пути, доступные и все ссылки.
-
В разделе "Затронутые продукты" определите экосистему, имя пакета, затронутые или исправленные версии и уязвимые функции для уязвимости безопасности, описываемой этим советом по безопасности. Если применимо, вы можете добавить несколько затронутых продуктов в те же рекомендации, нажав кнопку "Добавить другой затронутый продукт".
Сведения об указании сведений о форме, включая затронутые версии, см. в разделе Рекомендации по написанию рекомендаций по безопасности репозитория.
-
Определите серьезность уязвимости безопасности с помощью раскрывающегося меню "Серьезность ". Если вы хотите вычислить оценку CVSS, выберите "Оценка серьезности" с помощью CVSS, а затем выберите соответствующие значения в калькуляторе****. GitHub вычисляет оценку в соответствии с калькулятором системы оценки распространенных уязвимостей.
-
В разделе "Слабые места" в поле "**Общие перечислители слабых мест" введите **распространенные перечислители слабых мест (CWEs), описывающие типы слабых мест безопасности, которые эти рекомендации по безопасности сообщают. Полный список CWEs см. в разделе " Общее перечисление слабых мест " из MITRE.
-
При необходимости в разделе "Кредиты" добавьте кредиты, выполнив поиск имени пользователя GitHub, адрес электронной почты, связанный с их учетной записью GitHub или их полное имя.
-
Используйте раскрывающееся меню рядом с именем пользователя, которому вы зачисляете кредит, чтобы назначить тип кредита. Дополнительные сведения о типах кредитов см. в разделе "Сведения о кредитах для помощников по безопасности репозитория ".
-
При необходимости, чтобы удалить пользователя, щелкните рядом с типом кредита.
-
-
Щелкните Create draft security advisory (Создать черновик рекомендаций по безопасности).
Люди, указанные в разделе "Credits" (Благодарности), получат электронное письмо или веб-уведомление с приглашением принять благодарность. Если человек принимает это приглашение, его имя пользователя станет общедоступным после публикации рекомендации по безопасности.
Сведения о кредитах для помощников по безопасности репозитория
Вы можете включать в раздел благодарностей людей, которые помогли обнаружить, зарегистрировать или устранить уязвимость. Если вы решаете включить какого-либо человека в раздел благодарностей, он может принять или отклонить такое предложение.
Вы можете назначить людям различные типы кредитов.
| Тип кредитования | Причина |
|---|---|
| Искатель | Определяет уязвимость |
| Репортер | Уведомляет поставщика уязвимости к CNA |
| Аналитик | Проверяет уязвимость, чтобы обеспечить точность или серьезность |
| координатор | Упрощает согласованный процесс реагирования |
| Разработчик исправлений | Подготовка изменения кода или других планов исправления |
| Рецензент исправления | Проверяет планы исправления уязвимостей или изменения кода для повышения эффективности и полноты |
| Средство проверки исправления | Тестирует и проверяет уязвимость или ее исправление |
| Tool | Имена средств, используемых при обнаружении уязвимостей или идентификации |
| Спонсор | Поддерживает действия по идентификации или исправлению уязвимостей |
Если человек принимает это предложение, его имя пользователя отображается в разделе "Credits" (Благодарности) рекомендации по безопасности. Любой пользователь с доступом на чтение к репозиторию может видеть рекомендацию и людей, которые приняли предложение о включении в раздел благодарностей за нее.
Примечание.
Если вы считаете, что вы должны быть кредитованы за советы по безопасности, обратитесь к создателю рекомендаций и попросите изменить рекомендации, чтобы включить ваш кредит. Только создатель рекомендаций может зачислить вас, поэтому не обратитесь в службу поддержки GitHub о кредитах для помощников по безопасности.
Дальнейшие шаги
- Прокомментируйте черновик рекомендаций по безопасности, чтобы обсудить уязвимость со своей командой.
- Добавьте в рекомендации по безопасности участников совместной работы. Дополнительные сведения см. в разделе Добавление участника совместной работы в рекомендации по безопасности репозитория.
- Осуществляйте закрытую совместную работу для устранения уязвимости во временной частной вилке. Дополнительные сведения см. в разделе Совместная работа во временной частной вилке для устранения уязвимостей безопасности репозитория.
- Добавьте лиц, на чей счет должен быть отнесен вклад в работу над рекомендациями по безопасности. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности репозитория.
- Опубликуйте рекомендации по безопасности, чтобы уведомить свое сообщество об уязвимости. Дополнительные сведения см. в разделе Публикация рекомендаций по безопасности репозитория.