Изменение рекомендаций по безопасности репозитория

Вы можете изменить метаданные и описание рекомендаций по обеспечению безопасности репозитория, если необходимо обновить сведения или исправить ошибки.

Кто может использовать эту функцию?

Владельцы репозитория, владелец организации, руководители безопасности и пользователи с ролью администратора

В этой статье

Примечание.

Данная статья относится к рекомендациям по безопасности на уровне репозитория в публичном репозитории. Для редактирования глобального предупреждения в GitHub Advisory Database см. Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Изменение рекомендаций по безопасности

  1. На GitHubперейдите на главную страницу репозитория.

  2. Под названием репозитория нажмите на Security and quality вкладку. Если вы не видите вкладку « Security and quality» — выберите выпадающее меню и нажмите Security and quality.

  3. В левой боковой панели в разделе "Отчеты" щелкните Помощники.

  4. В списке "Помощники по безопасности" щелкните имя рекомендаций по безопасности, которые вы хотите изменить.

  5. В правом верхнем углу сведений о рекомендациях по безопасности нажмите кнопку "Изменить рекомендации". Откроется форма рекомендаций по безопасности в режиме редактирования.

  6. Используйте раскрывающееся меню идентификатора CVE, чтобы указать, имеется ли идентификатор CVE или планируется запросить один из GitHub позже. Если у вас есть идентификатор CVE, выберите имеющийся идентификатор CVE, чтобы отобразить **** существующее поле CVE и введите идентификатор CVE в поле. Дополнительные сведения см. в разделе Сведения о помощниках по безопасности репозитория.

  7. В поле "Описание" введите описание уязвимости безопасности, включая его влияние, все исправления или обходные пути, доступные и все ссылки.

  8. В разделе "Затронутые продукты" определите экосистему, имя пакета, затронутые или исправленные версии и уязвимые функции для уязвимости безопасности, описываемой этим советом по безопасности. Если применимо, вы можете добавить несколько затронутых продуктов в те же рекомендации, нажав кнопку "Добавить другой затронутый продукт".

    Сведения об указании сведений о форме, включая затронутые версии, см. в разделе Рекомендации по написанию рекомендаций по безопасности репозитория.

  9. Определите серьезность уязвимости безопасности с помощью раскрывающегося меню "Серьезность ". Если вы хотите вычислить оценку CVSS, выберите "Оценка серьезности" с помощью CVSS, а затем выберите соответствующие значения в калькуляторе****. GitHub вычисляет оценку в соответствии с калькулятором системы оценки распространенных уязвимостей.

  10. В разделе "Слабые места" в поле "**Общие перечислители слабых мест" введите **распространенные перечислители слабых мест (CWEs), описывающие типы слабых мест безопасности, которые эти рекомендации по безопасности сообщают. Полный список CWEs см. в разделе " Общее перечисление слабых мест " из MITRE.

  11. При необходимости в разделе "Кредиты", удалите существующие кредиты или используйте поле поиска, чтобы найти дополнительных пользователей, которые вы хотите получить кредит на рекомендации по безопасности, а затем щелкните свое имя пользователя, чтобы добавить их.

    • Используйте раскрывающееся меню рядом с именем пользователя, которому вы зачисляете кредит, чтобы назначить тип кредита. Дополнительные сведения о типах кредитов см. в разделе Создание рекомендаций по безопасности репозитория.

      Снимок экрана: черновик рекомендаций по безопасности. Раскрывающееся меню с надписью "Выбор типа кредита" выделено оранжевым контуром.

    • При необходимости, чтобы удалить кого-либо, щелкните рядом с типом кредита.

  12. Щелкните Update security advisory (Обновить рекомендации по безопасности).

Люди, указанные в разделе "Credits" (Благодарности), получат электронное письмо или веб-уведомление с приглашением принять благодарность. Если человек принимает это приглашение, его имя пользователя станет общедоступным после публикации рекомендации по безопасности.

Дополнительные материалы