Jeder, der über Administratorberechtigungen für ein öffentliches Repository verfügt, kann einen Sicherheitshinweis erstellen.
Jeder, der über Administratorberechtigungen für ein öffentliches Repository verfügt, hat auch Administratorberechtigungen auf alle Sicherheitshinweise in diesem Repository. Personen mit Administratorberechtigungen für einen Sicherheitshinweis können Mitarbeiter hinzufügen und Mitarbeiter haben Schreib-Berechtigungen zu diesem Sicherheitshinweis.
Hinweis: Wenn du Sicherheitsforscher bist, solltest du dich direkt an die Betreuer wenden und sie bitten, Sicherheitshinweise zu erstellen oder in deinem Auftrag CVEs in Repositorys zu erstellen, die nicht von dir verwaltet werden. Wenn jedoch das private Melden von Sicherheitsrisiken für das Repository aktiviert ist, können Sie selbst ein Sicherheitsrisiko privat melden. Weitere Informationen findest du unter Privates Melden eines Sicherheitsrisikos.
Informationen zu Sicherheitsempfehlungen für Repositorys
Die Aufdeckung von Sicherheitsrisiken ist ein Bereich, in dem die Zusammenarbeit zwischen denjenigen, die Sicherheitsrisiken melden, z. B. Sicherheitsforscher, und den Projektbetreuern sehr wichtig ist. Beide Parteien müssen zusammenarbeiten, und zwar von dem Moment an, in dem eine potenziell gefährliche Sicherheitslücke gefunden wird, bis zu dem Zeitpunkt, an dem die Schwachstelle öffentlich gemacht wird, idealerweise mit einem entsprechenden Patch. Wenn ein Projektbetreuer privat über ein Sicherheitsrisiko informiert wird, entwickelt er in der Regel einen Fix, prüft ihn und benachrichtigt die Benutzer des Projekts oder Pakets. Weitere Informationen findest du unter Informationen zur koordinierten Offenlegung von Sicherheitsrisiken.
Mithilfe von Sicherheitsempfehlungen für Repositorys können Verwalter*innen von öffentlichen Repositorys ein Sicherheitsrisiko in einem Projekt privat besprechen und beheben. Nach der Zusammenarbeit an einer Lösung können Repositoryverwalter die Sicherheitsempfehlung veröffentlichen, um das Sicherheitsrisiko öffentlich für die Community des Projekts offenzulegen. Durch die Veröffentlichung von Sicherheitsempfehlungen erleichtern Repositoryverwalter ihrer Community das Aktualisieren von Paketabhängigkeiten und das Untersuchen der Auswirkungen von Sicherheitsrisiken.
Sicherheitsempfehlungen für Repositorys bieten die folgenden Vorteile:
- Einen Entwurf für einen Sicherheitshinweis erstellen und den Entwurf benutzen, um die Auswirkung der Schwachstelle auf Dein Projekt privat zu diskutieren. Weitere Informationen findest du unter Erstellen einer Sicherheitsempfehlung für ein Repository.
- Privat mit anderen zusammenarbeiten, um die Schwachstelle in einem temporären privaten Fork zu beheben.
- Veröffentliche den Sicherheitshinweis, um deine Community auf das Sicherheitsrisiko aufmerksam zu machen, sobald ein Patch veröffentlicht wurde. Weitere Informationen findest du unter Veröffentlichen einer Sicherheitsempfehlung für ein Repository.
Du kannst auch Sicherheitsempfehlungen für Repositorys verwenden, um die Details eines bereits an anderer Stelle gemeldeten Sicherheitsrisikos erneut zu veröffentlichen. Kopiere hierfür die Details des Sicherheitsrisikos, und füge sie in eine neue Sicherheitsempfehlung ein.
Du kannst auch die REST-API verwenden, um Sicherheitsempfehlungen für Repositorys zu erstellen, aufzulisten und zu aktualisieren. Weitere Informationen findest du unter REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys.
Du kannst Personen, die zu einem Sicherheitshinweis beigetragen haben, eine Gutschrift gewähren. Weitere Informationen findest du unter Bearbeiten einer Sicherheitsempfehlung für ein Repository.
Du kannst eine Sicherheitsrichtlinie erstellen, um Anweisungen für das Melden von Sicherheitsrisiken in deinem Projekt zu geben. Weitere Informationen findest du unter Hinzufügen einer Sicherheitsrichtlinie für dein Repository.
Wenn du einen Sicherheitshinweis in deinem Repository erstellt hast, bleibt der Sicherheitshinweis in deinem Repository. Wir veröffentlichen Sicherheitshinweise für alle Ökosysteme, die von dem Abhängigkeitsdiagramm der GitHub Advisory Database auf github.com/advisories unterstützt werden. Jeder kann eine Änderung an einem in der GitHub Advisory Database veröffentlichten Hinweis vornehmen. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.
Spezielle Sicherheitshinweise für npm veröffentlichen wir auch in den npm-Sicherheitshinweisen. Weitere Informationen findest du unter npmjs.com/advisories.
Du kannst auch GitHub Security Lab beitreten, um sicherheitsbezogene Themen zu durchsuchen und zu Sicherheitstools und Projekten beizutragen.
CVE-Identifikationsnummern
GitHub Security Advisories basiert auf der Grundlage der 'Common Vulnerabilities and Exposures (CVE)'-Liste (Liste der häufigsten Schwachstellen und Gefährdungen). Das Formular für den Sicherheitshinweis auf GitHub ist ein standardisiertes, dem CVE-Beschreibungsformat entsprechendes Formular.
GitHub ist eine 'CVE Numbering Authority (CNA)' (Nummerierungsautorität ) und ist berechtigt, CVE-Identifikationsnummern zuzuweisen. Weitere Informationen findest du auf der CVE-Website unter Informationen zu CVE und CVE-Nummerierungsstellen.
Wenn Du einen Sicherheitshinweis für ein öffentliches Repository auf GitHub erstellst, hast Du die Möglichkeit, eine vorhandene CVE-Identifikationsnummer für die Sicherheitslücke beizufügen. Wenn du eine CVE-Identifikationsnummer für das Sicherheitsrisiko in deinem Projekt wünschst und noch keine hast, kannst du eine CVE-Identifikationsnummer bei GitHub anfordern. GitHub prüft die Anforderung normalerweise binnen 72 Stunden. Durch Anfordern einer CVE-Identifikationsnummer wird deine Sicherheitsempfehlung nicht publik gemacht. Wenn deine Sicherheitsempfehlung für ein CVE in Frage kommt, reserviert GitHub eine CVE-Identifikationsnummer für deine Empfehlung. Wir veröffentlichen dann die CVE-Details, nachdem du deine Sicherheitsempfehlung publik gemacht hast. Personen mit Administratorberechtigungen für eine Sicherheitsempfehlung können eine CVE-Identifikationsnummer anfordern.
Wenn du bereits eine CVE hast, die du verwenden möchtest, z. B. weil du eine andere CNA (CVE Numbering Authority) als GitHub verwendest, füge die CVE in das Sicherheitsempfehlungsformular ein. Das kann z. B. der Fall sein, wenn du die Empfehlung mit anderen Mitteilungen in Einklang bringen möchtest, die du zum Veröffentlichungszeitpunkt senden möchtest. GitHub kann deinem Projekt keine CVEs zuweisen, wenn es von einer anderen CNA bearbeitet wird.
Sobald du den Sicherheitshinweis veröffentlicht hast und GitHub dem Sicherheitsrisiko eine CVE-Identifikationsnummer zugewiesen hat, veröffentlicht GitHub die CVE-Nummer in der MITRE-Datenbank. Weitere Informationen findest du unter Veröffentlichen einer Sicherheitsempfehlung für ein Repository.
Dependabot alerts for published security advisories
GitHub überprüft jede veröffentlichte Sicherheitsempfehlung, fügt sie der GitHub Advisory Database hinzu und verwendet sie möglicherweise zum Senden von Dependabot alerts an betroffene Repositorys. Wenn der Sicherheitshinweis von einer Fork kommt, senden wir nur dann eine Warnung, wenn der Fork ein Paket besitzt, das unter einem eineindeutigen Namen in einem öffentlichen Paket-Registry veröffentlicht wurde. Dieser Prozess kann bis zu 72 Stunden dauern und GitHub kann Dich für weitere Informationen kontaktieren.
Weitere Informationen zu Dependabot alerts findest du unter Informationen zu Dependabot-Warnungen und Informationen zu Dependabot-Sicherheitsupdates. Weitere Informationen zur GitHub Advisory Database findest du unter Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database.