Über GitHub Security Advisories

Jeder, der über Administratorberechtigungen für ein Repository verfügt, kann einen Sicherheitshinweis erstellen.

Jeder, der über Administratorberechtigungen für ein Repository verfügt hat auch Administratorberechtigungen auf alle Sicherheitshinweise in diesem Repository. Personen mit Administratorberechtigungen für einen Sicherheitshinweis können Mitarbeiter hinzufügen und Mitarbeiter haben Schreib-Berechtigungen zu diesem Sicherheitshinweis.

Informationen zum GitHub Security Advisories

GitHub Security Advisories erlaubt es Repository-Betreuern, eine Sicherheitslücke in einem Projekt privat zu diskutieren und zu beheben. Nach der Zusammenarbeit an einer Korrektur können Repository-Betreuer den Sicherheitshinweis veröffentlichen, um die Sicherheitslücke für die Projekt-Community öffentlich bekannt zu machen. Durch die Veröffentlichung von Sicherheitshinweisen erleichtern die Repository-Betreuer ihrer Community das aktualisieren von betroffenen Paketen und die Untersuchung der Auswirkungen der Sicherheitslücken.

Mit GitHub Security Advisories kannst Du:

1. Einen Entwurf für einen Sicherheitshinweis erstellen und den Entwurf benutzen, um die Auswirkung der Schwachstelle auf Dein Projekt privat zu diskutieren.
2. Privat mit anderen zusammenarbeiten, um die Schwachstelle in einem temporären privaten Fork zu beheben.
3. Den Sicherheitshinweis veröffentlichen um Deine Community auf die Schwachstelle hinzuweisen.

Du kannst auch GitHub Security Advisories verwenden, um die Details einer bereits an einer anderen Stelle offen gelegten Sicherheitslücke erneut zu veröffentlichen, indem Du die Details der Sicherheitslücke kopierst und in eine neue Sicherheitsempfehlung einfügst.

Informationen zu den ersten Schritten findest Du unter „Einen Sicherheitshinweis erstellen.“

You can give credit to individuals who contributed to a security advisory. Weitere Informationen findest Du unter „Einen Sicherheitshinweis bearbeiten."

Du kannst eine Sicherheitsrichtlinie erstellen, um Personen Anweisungen für das verantwortungsvolle Melden von Sicherheitslücken in Deinem Projekt zu geben. Weitere Informationen findest Du unter „Eine Sicherheitsrichtlinie zu Deinem Repository hinzufügen.“

Du kannst Dich auch GitHub Security Lab anschließen, um sicherheitsrelevante Themen zu durchsuchen und zu Sicherheitswerkzeugen und -Projekten beizutragen.

CVE-Identifikationsnummern

GitHub Security Advisories builds upon the foundation of the Common Vulnerabilities and Exposures (CVE) list. GitHub is a CVE Numbering Authority (CNA) and is authorized to assign CVE identification numbers. For more information, see "About CVE" and "CVE Numbering Authorities" on the CVE website.

When you create a security advisory for a public repository on GitHub, you have the option of providing an existing CVE identification number for the security vulnerability. Wenn Du noch keine CVE-Identifikationsnummer für die Sicherheitslücke in Deinem Projekt hast, kannst Du eine CVE-Identifikationsnummer bei GitHub anfordern. Eine CVE-Identifikationsnummer zuzuweisen dauert in der Regel 72 Stunden oder weniger. For more information, see "Publishing a security advisory."

Sicherheitswarnungen für veröffentlichte Sicherheitshinweise

GitHub wird jeden veröffentlichten Sicherheitshinweis überprüfen, wird ihn der GitHub Advisory Database hinzufügen und kann den Sicherheitshinweis einsetzen, um Sicherheitsmeldungen an betroffene Repositorys zu senden. Wenn der Sicherheitshinweis von einer Fork kommt, senden wir nur dann eine Warnung, wenn der Fork ein Paket besitzt, das unter einem eineindeutigen Namen in einem öffentlichen Paket-Registry veröffentlicht wurde. Dieser Prozess kann bis zu 72 Stunden dauern und GitHub kann Dich für weitere Informationen kontaktieren.

Weitere Informationen über Sicherheitsmeldungen findest Du unter „Über Sicherheitshinweise für angreifbare Abhängigkeiten." Weiter Informationen über die GitHub Advisory Database findest Du unter „Durchsuchen von Sicherheitslücken in der GitHub Advisory Database."