プライベート脆弱性レポートを有効にすると、セキュリティ研究者は、リポジトリ内の脆弱性を直接開示するための安全で構造化された方法が提供されます。 有効にすると、研究者は公開や非公式のチャネルに頼ることなく、レポートを送信できます。 プライベート脆弱性レポートの背景と、それが調整された開示にどのように適合するかについては、 AUTOTITLE を参照してください。
この記事の手順は、リポジトリ レベルでの有効化についてのものです。 Organization レベルでの機能の有効化については、「セキュリティ脆弱性の調整された開示について」をご覧ください。
リポジトリに関するプライベート脆弱性レポートの有効化または無効化
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリ名の下にある [Settings] をクリックします。 [設定] タブが表示されない場合は、 [] ドロップダウン メニューを選び、 [設定] をクリックします。
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/images/help/repository/repo-actions-settings.png)
-
サイドバーの [Security] セクションで、[ Advanced Security] をクリックします。
-
[Advanced Security] で、[Private vulnerability reporting] の右側にある [Enable] または [Disable] をクリックして、その機能をそれぞれ有効または無効にします。
![[コードのセキュリティと分析] ページのスクリーンショット。[プライベート脆弱性レポート] の設定が示されています。 [Enable] ボタンがオレンジ色の枠線で囲まれています。](/assets/images/help/security/private-vulnerability-reporting-enable-or-disable-repo.png)
![タブを示すリポジトリ ヘッダーのスクリーンショット。 [設定] タブが濃いオレンジ色の枠線で強調表示されています。](/assets/cb-28260/mw-1440/images/help/repository/repo-actions-settings.webp)
プライベート脆弱性レポートが有効になっている場合、セキュリティ研究者にはリポジトリの [アドバイザリ] ページに [ 脆弱性 の報告] ボタンが表示され、プライベート レポートを送信できます。
![プライベート脆弱性レポートが有効になっているリポジトリの [脆弱性の報告] ボタンを示すスクリーンショット。](/assets/cb-73228/mw-1440/images/help/security/report-a-vulnerability-button.webp)
また、セキュリティ リサーチャーは、REST API を使って、セキュリティの脆弱性を非公開で報告できます。 「リポジトリ セキュリティ アドバイザリ用の REST API エンドポイント」を参照してください。
プライベート脆弱性レポートの通知を構成する
リポジトリで新しい脆弱性が非公開で報告されると、GitHub は、次の場合にリポジトリ管理者とセキュリティ マネージャーに通知します。
- すべてのアクティビティについてリポジトリを監視しているか、"セキュリティ アラート" 通知をサブスクライブしています。
- リポジトリで通知が有効にされている。
通知は、ユーザーの通知基本設定に依存します。 次の場合に、電子メール通知を受け取ります。 * [すべてのアクティビティ] が選択されているか、セキュリティ アラート ([カスタム] で使用可能) が選択された状態でリポジトリを監視しています。
- 通知設定の [ サブスクリプション] の [ 監視] で、電子メールで通知を受信するように選択しました。
-
GitHub で、リポジトリのメイン ページに移動します。
-
リポジトリの監視を始めるには、 [Watch] を選びます。
![リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。](/assets/cb-6045/images/help/repository/repository-watch-dropdown.png)
-
ドロップダウン メニューで、[ すべてのアクティビティ ] を選択してすべてのアクティビティの通知を受信するか、[ カスタム] を選択し、[ セキュリティ アラート ] を選択して、セキュリティ アラートに対してのみ通知を受信します。
-
個人用アカウントの通知設定に移動します。 https://github.com/settings/notifications で利用できます。
-
通知設定ページの [サブスクリプション] の [視聴中] で、[ 通知 ] ドロップダウンをクリックします。
-
通知方法として [Email] を選び、 [保存] を選びます。
![ユーザー アカウントの通知設定のスクリーンショット。 [Subscriptions] と [Watching] の下にある [Email] というタイトルのチェックボックスがオレンジ色の枠線で囲まれています。](/assets/cb-65804/images/help/notifications/repository-watching-notification-options.png)
![リポジトリのメイン ページのスクリーンショット。 [ウォッチ] というタイトルが付いたドロップダウン メニューがオレンジ色の枠線で強調表示されています。](/assets/cb-6045/mw-1440/images/help/repository/repository-watch-dropdown.webp)
![ユーザー アカウントの通知設定のスクリーンショット。 [Subscriptions] と [Watching] の下にある [Email] というタイトルのチェックボックスがオレンジ色の枠線で囲まれています。](/assets/cb-65804/mw-1440/images/help/notifications/repository-watching-notification-options.webp)
通知のユーザー設定について詳しくは、「リポジトリのセキュリティと分析設定を管理する」と「個々のリポジトリの Watch 設定を行う」をご覧ください。