セキュリティ脆弱性レポートテンプレート
CVSSスコアリング、影響を受けるバージョン、概念実証、修正の提案を含む責任ある開示のためのIssueテンプレート。
Security
詳細な説明
セキュリティ脆弱性レポートテンプレート
セキュリティ脆弱性レポートには特別な対応が必要です。多くのプロジェクトがGitHubのプライベート脆弱性報告機能を使用していますが、テンプレートがあることで一貫した情報収集が保証されます。
テンプレート構造
name: "Security Vulnerability"
description: "セキュリティ脆弱性を報告"
title: "[Security]: "
labels: ["security", "priority:critical"]
body:
- type: markdown
attributes:
value: |
**重要**: このリポジトリがGitHubのプライベート脆弱性報告を
サポートしている場合、公開Issueの代わりにその機能を使用してください。
- type: dropdown
id: vulnerability_type
attributes:
label: "脆弱性の種類"
options:
- "認証バイパス"
- "認可の欠陥"
- "クロスサイトスクリプティング(XSS)"
- "SQLインジェクション"
- "リモートコード実行"
validations:
required: true
プライベートvs公開報告
冒頭のmarkdown警告は重要です。公開のセキュリティIssueは修正前に悪用される可能性があります。利用可能な場合は常にプライベート脆弱性報告を推奨します。
CVSSスコアリング
推定CVSSの重大度を含めることで、メンテナが対応の優先順位を決定するのに役立ちます。
ユースケース
構造化されたセキュリティ脆弱性レポート受信プロセスを必要とするオープンソースプロジェクトや組織、特に専門のセキュリティチームや確立されたPSIRTワークフローがないもの。