您可以发布安全通告，向社区提醒项目中的安全漏洞。

对安全通告具有管理员权限的任何人都可发布安全通告。

基本要求

在发布安全公告或请求CVE标识号之前，必须创建安全公告草稿并提供有关受安全漏洞影响的项目版本的信息。有关更多信息，请参阅“ 创建安全公告”。

如果您已创建安全通告，但尚未提供有关安全漏洞影响的项目版本的详细信息，则可以编辑安全通告。 更多信息请参阅“编辑安全通告”。

关于发布安全通告

发布安全公告时，您会将安全公告所解决的安全漏洞通知您的社区。发布安全公告可以使您的社区更轻松地更新程序包依赖性并研究安全漏洞的影响。

您还可以使用 GitHub Security Advisories 重新发布已在其他地方披露的安全漏洞详细信息，方法是将该漏洞的详细信息复制并粘贴到新的安全通告中。

在发布安全公告之前，您可以私下协作以临时私下方式修复漏洞。更多信息请参阅“在临时私有复刻中协作以解决安全漏洞”。

发布安全通告后，安全通告的 URL 将与发布安全通告之前保持相同。 对仓库具有读取权限的任何人都能看到安全通告。 安全通告的协作者可以继续在安全通告中查看过去的对话，除非有管理员权限的人从安全通告删除协作者。

如果需要更新或更正已发布的安全通告中的信息，可以编辑安全通告。 更多信息请参阅“编辑安全通告”。

申请 CVE 识别号

具有安全公告管理员权限的任何人都可以要求该安全公告的CVE标识号。

如果项目中尚无表示安全漏洞的 CVE 识别码，您可以从 GitHub 请求一个 CVE 识别码。GitHub通常会在72小时内审核请求。 索取CVE标识号不会使您的安全建议公开。 如果您的安全公告有资格获得CVE，则GitHub将为您的公告保留CVE标识号。 在您发布安全公告后，我们将随后发布CVE详细信息。 有关更多信息，请参见 "About GitHub Security Advisories."

1. 在 GitHub 上，导航到仓库的主页面。

1. 在仓库名称下，单击 Security（安全）。

1. 在左侧边栏中，单击 Security advisories（安全通告）。

1. 在“Security Advisories（安全通告）”列表中，单击要为其申请 CVE 识别号的安全通告。

1. 使用 Publish advisory（发布通告）下拉菜单，然后单击 Request CVE（申请 CVE）。

1. 单击 Request CVE（申请 CVE）。

发布安全通告

Publishing a security advisory deletes the temporary private fork for the security advisory.

1. 在 GitHub 上，导航到仓库的主页面。

1. 在仓库名称下，单击 Security（安全）。

1. 在左侧边栏中，单击 Security advisories（安全通告）。

1. 在“Security Advisories（安全通告）”列表中，单击您要发布的安全通告。

1. 在页面底部，单击 Publish advisory（发布通告）。

对于发布的安全通告的 GitHub Dependabot 警报

GitHub将审核每个已发布的安全公告，将其添加到GitHub咨询数据库，并可以使用该安全公告将GitHub Dependabot警报发送到受影响的存储库。如果安全通告来自复刻，我们仅当该复刻拥有在公共软件包注册表上以唯一名称发布的软件包时才发送警报。 此过程最长可能需要 72 小时，GitHub 可能会联系您以获取更多信息。

有关GitHub Dependabot警报的更多信息，请参阅“ 关于易受攻击的依赖项的警报 ”。有关GitHub咨询数据库的更多信息，请参阅“ 在GitHub咨询数据库中浏览安全漏洞 ”。

延伸阅读

• "撤销安全通告"