{"meta":{"title":"Erstellen einer Sicherheitsempfehlung für ein Repository","intro":"Du kannst einen Entwurf eines Sicherheitshinweises erstellen, um privat über die Sicherheitslücke in Deinem Open-Source-Projekt zu diskutieren und sie zu beheben.","product":"Sicherheit und Codequalität","breadcrumbs":[{"href":"/de/code-security","title":"Sicherheit und Codequalität"},{"href":"/de/code-security/how-tos","title":"How-tos"},{"href":"/de/code-security/how-tos/report-and-fix-vulnerabilities","title":"Melden und Beheben von Sicherheitsrisiken"},{"href":"/de/code-security/how-tos/report-and-fix-vulnerabilities/fix-reported-vulnerabilities","title":"Beheben von Sicherheitsrisiken"},{"href":"/de/code-security/how-tos/report-and-fix-vulnerabilities/fix-reported-vulnerabilities/creating-a-repository-security-advisory","title":"Repositoryempfehlung erstellen"}],"documentType":"article"},"body":"# Erstellen einer Sicherheitsempfehlung für ein Repository\n\nDu kannst einen Entwurf eines Sicherheitshinweises erstellen, um privat über die Sicherheitslücke in Deinem Open-Source-Projekt zu diskutieren und sie zu beheben.\n\n> \\[!NOTE]\n> Wenn du Sicherheitsforscher bist, solltest du dich direkt an die Betreuer wenden und sie bitten, Sicherheitshinweise zu erstellen oder in deinem Auftrag CVEs in Repositorys zu erstellen, die nicht von dir verwaltet werden. Wenn jedoch das private Melden von Sicherheitsrisiken für das Repository aktiviert ist, können Sie selbst ein Sicherheitsrisiko *privat* melden. Weitere Informationen finden Sie unter [Privates Melden eines Sicherheitsrisikos](/de/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/privately-reporting-a-security-vulnerability).\n\n## Erstellen einer Sicherheitsempfehlung\n\nDu kannst auch die REST-API verwenden, um Sicherheitsempfehlungen für Repositorys zu erstellen. Weitere Informationen finden Sie unter [REST-API-Endpunkte für Sicherheitsempfehlungen zu Repositorys](/de/rest/security-advisories/repository-advisories).\n\n1. Navigieren Sie auf GitHub zur Hauptseite des Repositorys.\n2. Klicken Sie unter dem Repositorynamen auf die **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality** Registerkarte. Wenn die Registerkarte \"<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality\" nicht angezeigt wird, wählen Sie das **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-kebab-horizontal\" aria-label=\"kebab-horizontal\" role=\"img\"><path d=\"M8 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3ZM1.5 9a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Zm13 0a1.5 1.5 0 1 0 0-3 1.5 1.5 0 0 0 0 3Z\"></path></svg>** Dropdownmenü aus, und klicken Sie dann auf **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Security and quality**.\n3. Klicke in der linken Randleiste unter „Reporting“ auf **<svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-shield\" aria-label=\"shield\" role=\"img\"><path d=\"M7.467.133a1.748 1.748 0 0 1 1.066 0l5.25 1.68A1.75 1.75 0 0 1 15 3.48V7c0 1.566-.32 3.182-1.303 4.682-.983 1.498-2.585 2.813-5.032 3.855a1.697 1.697 0 0 1-1.33 0c-2.447-1.042-4.049-2.357-5.032-3.855C1.32 10.182 1 8.566 1 7V3.48a1.75 1.75 0 0 1 1.217-1.667Zm.61 1.429a.25.25 0 0 0-.153 0l-5.25 1.68a.25.25 0 0 0-.174.238V7c0 1.358.275 2.666 1.057 3.86.784 1.194 2.121 2.34 4.366 3.297a.196.196 0 0 0 .154 0c2.245-.956 3.582-2.104 4.366-3.298C13.225 9.666 13.5 8.36 13.5 7V3.48a.251.251 0 0 0-.174-.237l-5.25-1.68ZM8.75 4.75v3a.75.75 0 0 1-1.5 0v-3a.75.75 0 0 1 1.5 0ZM9 10.5a1 1 0 1 1-2 0 1 1 0 0 1 2 0Z\"></path></svg> Advisories**.\n4. Klicke auf **Neue Sicherheitsempfehlung entwerfen**, um das Entwurfsformular für Empfehlungen zu öffnen. Mit einem Sternchen gekennzeichnete Felder müssen ausgefüllt werden.\n5. Gib im Feld **Titel** einen Titel für deine Sicherheitsempfehlung ein.\n6. Verwende das Dropdownmenü **CVE-Bezeichner**, um anzugeben, ob du bereits über einen CVE-Bezeichner verfügst oder ob du planst, später einen von GitHub anzufordern. Wenn du bereits über einen CVE-Bezeichner verfügst, wähle **Ich verfüge über einen vorhandene CVE-Bezeichner** aus, um das Feld **Vorhandener CVE-Bezeichner** anzuzeigen, und gib den CVE-Bezeichner in das Textfeld ein. Weitere Informationen finden Sie unter [Informationen zu Sicherheitsempfehlungen für Repositorys](/de/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories#cve-identification-numbers).\n7. Gib im Feld **Beschreibung** eine Beschreibung des Sicherheitsrisikos ein, einschließlich ihrer Auswirkungen, aller verfügbaren Patches oder Problemumgehungen sowie eventueller Verweise.\n8. Gib unter „Betroffene Produkte“ das Ökosystem, den Paketnamen, die betroffenen/gepatchten Versionen und die anfälligen Funktionen für das Sicherheitsrisiko an, das dieser Sicherheitshinweis beschreibt. Falls zutreffend, kannst du mehrere betroffene Produkte zum gleichen Hinweis hinzufügen, indem du auf **Ein weiteres betroffenes Produkt hinzufügen** klickst.\n\n   Informationen zur Eingabe von Informationen im Formular, einschließlich der betroffenen Versionen, findest du unter [Bewährte Methoden für das Schreiben von Sicherheitshinweisen für Repositorys](/de/code-security/security-advisories/guidance-on-reporting-and-writing-information-about-vulnerabilities/best-practices-for-writing-repository-security-advisories).\n9. Definiere den Schweregrad des Sicherheitsrisikos mithilfe des Dropdownmenüs **Schweregrad**. Wenn du einen CVSS-Score (Common Vulnerability Scoring System) berechnen möchtest, wähle **Schweregrad mithilfe von CVSS bewerten** und dann die entsprechenden Werte im **Rechner** aus. GitHub berechnet den Score gemäß dem [Common Vulnerability Scoring System Calculator](https://www.first.org/cvss/calculator).\n10. Gib unter „Schwächen“ im Feld **Common Weakness Enumerator** die Common Weakness Enumerators (CWEs) ein, die die mit diesem Sicherheitshinweis gemeldeten Arten von Sicherheitsschwachstellen beschreiben. Eine vollständige Liste der CWEs findest du in der [Common Weakness Enumeration](https://cwe.mitre.org/index.html) von MITRE.\n11. Optional kannst du unter „Anerkennungen“ Anerkennungen hinzufügen, indem du nach einem GitHub-Benutzernamen, der E-Mail-Adresse, die dem GitHub-Konto zugeordnet ist, oder nach dem vollständigen Namen suchst.\n\n    * Verwende das Dropdownmenü neben dem Namen der Person, die du erwähnst, um ihr einen Anerkennungstyp zuzuweisen. Weitere Informationen zu Anerkennungstypen findest du im Abschnitt [Informationen zu Anerkennungen für Empfehlungen zur Repositorysicherheit](#about-credits-for-repository-security-advisories).\n\n      ![Screenshot eines Entwurfs einer Sicherheitsempfehlung. Ein Dropdownmenü mit der Bezeichnung „Anerkennungstyp auswählen“ ist orange umrandet.](/assets/images/help/security/security-advisories-choose-credit-type.png)\n\n    * Um jemanden zu entfernen, wähle optional neben dem Anerkennungstyp <svg version=\"1.1\" width=\"16\" height=\"16\" viewBox=\"0 0 16 16\" class=\"octicon octicon-x\" aria-label=\"The icon to remove someone\" role=\"img\"><path d=\"M3.72 3.72a.75.75 0 0 1 1.06 0L8 6.94l3.22-3.22a.749.749 0 0 1 1.275.326.749.749 0 0 1-.215.734L9.06 8l3.22 3.22a.749.749 0 0 1-.326 1.275.749.749 0 0 1-.734-.215L8 9.06l-3.22 3.22a.751.751 0 0 1-1.042-.018.751.751 0 0 1-.018-1.042L6.94 8 3.72 4.78a.75.75 0 0 1 0-1.06Z\"></path></svg> aus.\n12. Klicke auf **Entwurf für Sicherheitsempfehlung erstellen**.\n\nDie Personen, die im Abschnitt „Anerkennungen“ aufgeführt sind, erhalten eine E-Mail oder Webbenachrichtigung, in der sie eingeladen werden, diese zu akzeptieren. Wenn eine Person akzeptiert, wird ihr Benutzername öffentlich sichtbar, sobald die Sicherheitsempfehlung veröffentlicht wird.\n\n### Informationen zu Sicherheitsempfehlungen für Repositorys\n\nDu kannst Personen, die beim Entdecken, Melden oder Beheben eines Sicherheitsrisikos geholfen, eine Anerkennung zuweisen. Wenn du jemandem eine Anerkennung zuteil werden lässt, kann diese Person entscheiden, ob sie die Anerkennung annimmt oder ablehnt.\n\nDu kannst Personen verschiedene typen von Anerkennungen zuweisen.\n\n| Gutschrifttyp       | Ursache                                                                                                      |\n| ------------------- | ------------------------------------------------------------------------------------------------------------ |\n| Finder              | Identifiziert das Sicherheitsrisiko                                                                          |\n| Melder              | Benachrichtigt den Anbieter über das Sicherheitsrisiko für eine CNA                                          |\n| Analytiker          | Überprüft das Sicherheitsrisiko, um Genauigkeit oder Schweregrad sicherzustellen                             |\n| Koordinator         | Führt den koordinierten Reaktionsprozess durch                                                               |\n| Korrekturentwickler | Bereitet eine Codeänderung oder andere Wartungspläne vor                                                     |\n| Korrekturprüfer     | Überprüft Pläne zur Behebung von Sicherheitsrisiken oder Codeänderungen auf Effektivität und Vollständigkeit |\n| Korrekturbestätiger | Testet und überprüft das Sicherheitsrisiko oder seine Korrektur                                              |\n| Tool                | Namen von Tools, die bei der Ermittlung oder Identifizierung von Sicherheitsrisiken verwendet werden         |\n| Projektsponsor      | Unterstützt die Aktivitäten zur Identifizierung oder Korrektur von Sicherheitsrisiken                        |\n\nWenn die Person die Anerkennung annimmt, wird ihr Benutzername im Abschnitt „Anerkennungen“ der Sicherheitsempfehlung angezeigt. Alle Personen mit Lesezugriff auf das Repository können die Sicherheitsempfehlung sowie diejenigen Personen sehen, die eine Anerkennung angenommen haben.\n\n> \\[!NOTE]\n> Wenn Sie der Meinung sind, eine Anerkennung für einen Sicherheitshinweis verdient zu haben, wenden Sie sich an die Person, die den Hinweis erstellt hat, und bitten Sie diese Person, Sie im Hinweis anzuerkennen. Nur die Person, die eine Empfehlung erstellt hat, kann die Anerkennung zuweisen. Wende dich daher nicht an den GitHub-Support, wenn es um Anerkennungen für Sicherheitsempfehlungen geht.\n\n## Nächste Schritte\n\n* Du kannst Den Entwurf des Sicherheitshinweises kommentieren, um die Schwachstelle mit Deinem Team zu diskutieren.\n* Füge Mitarbeiter zum Sicherheitshinweis hinzu. Weitere Informationen finden Sie unter [Hinzufügen eines Mitarbeiters zu einem Repository-Sicherheitshinweis](/de/code-security/security-advisories/working-with-repository-security-advisories/adding-a-collaborator-to-a-repository-security-advisory).\n* Privat mit anderen zusammenarbeiten, um die Schwachstelle in einem temporären privaten Fork zu beheben. Weitere Informationen finden Sie unter [Zusammenarbeit in einem temporären privaten Fork, um eine Sicherheitslücke im Repository zu beheben](/de/code-security/security-advisories/working-with-repository-security-advisories/collaborating-in-a-temporary-private-fork-to-resolve-a-repository-security-vulnerability).\n* Füge Personen hinzu, die eine Anerkennung für einen Beitrag zur Sicherheitsempfehlung erhalten sollen. Weitere Informationen finden Sie unter [Bearbeiten einer Sicherheitsempfehlung für ein Repository](/de/code-security/security-advisories/working-with-repository-security-advisories/editing-a-repository-security-advisory#about-credits-for-security-advisories).\n* Veröffentliche den Sicherheitshinweis, um Deine Community über die Sicherheitslücke zu informieren. Weitere Informationen finden Sie unter [Veröffentlichen einer Sicherheitsempfehlung für ein Repository](/de/code-security/security-advisories/working-with-repository-security-advisories/publishing-a-repository-security-advisory)."}