浏览 GitHub Advisory Database 中的安全漏洞

GitHub Advisory Database 允许您浏览或搜索影响 GitHub 上开源项目的漏洞。

关于安全漏洞

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。

如果我们检测到 GitHub Advisory Database 中存在会影响您的仓库所依赖的软件包的任何漏洞,GitHub 将会向您发送 Dependabot 警报。 更多信息请参阅“关于易受攻击的依赖项的警报”。

关于 GitHub Advisory Database

GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。 我们从以下来源添加漏洞到 GitHub Advisory Database:

每个安全通告都包含有关漏洞的信息,包括说明、严重程度、受影响的包、包生态系统、受影响的版本和修补版本、影响以及可选信息(如引用、解决方法和积分)。 此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。

我们在常见漏洞评分系统 (CVSS) 第 5 节中定义了以下四种可能的严重性等级。

  • 关键

GitHub Advisory Database 使用上述 CVSS 级别。 如果 GitHub 获取 CVE,GitHub Advisory Database 将使用 CVSS 版本 3.1。 如果 CVE 是导入的,则 GitHub Advisory Database 支持 CVSS 版本 3.0 和 3.1。

您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。

访问 GitHub Advisory Database 中的通告

  1. 导航到 https://github.com/advisories。
  2. (可选)要过滤列表,请使用任意下拉菜单。 下拉过滤器
  3. 单击任何通告以查看详情。

也可以使用 GraphQL API 访问数据库。 更多信息请参阅“security_advisory web 挂钩事件”。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符缩小搜索范围。 例如,您可以搜索在特定日期、特定生态系统或特定库中创建的通告。

日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 更多信息请参阅“了解搜索语法”。

限定符示例
GHSA-IDGHSA-49wp-qq6x-g2rf 将显示使用此 GitHub Advisory Database ID 的通告。
CVE-IDCVE-2020-28482 将显示使用此 CVE ID 号的通告。
ecosystem:ECOSYSTEMecosystem:npm 只显示影响 NPM 包的通告。
severity:LEVELseverity:high 只显示严重程度高的公告。
affects:LIBRARYaffects:lodash 只显示影响 lodash 库的通告。
cwe:IDcwe:352 将只显示使用此 CWE 编号的通告。
credit:USERNAMEcredit:octocat 将只显示计入“octocat”用户帐户的通告。
sort:created-ascsort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。
sort:created-descsort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。
sort:updated-ascsort:updated-asc 按照更新顺序排序,最早更新的排在最前面。
sort:updated-descsort:updated-desc 按照更新顺序排序,最近更新的排在最前面。
is:withdrawnis:withdrawn 只显示已经撤销的通告。
created:YYYY-MM-DDcreated:2021-01-13 只显示此日期创建的通告。
updated:YYYY-MM-DDupdated:2021-01-13 只显示此日期更新的通告。

查看有漏洞的仓库

对于 GitHub Advisory Database 中的任何漏洞,您可以查看哪些仓库具有该漏洞的 Dependabot 警报。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot 警报。 更多信息请参阅“关于易受攻击的依赖项的警报”。

  1. 导航到 https://github.com/advisories。
  2. 单击通告。
  3. 在通告页面的顶部,单击 Dependabot alerts(Dependabot 警报)Dependabot 警报
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot 警报。 用于过滤警报的搜索栏和下拉菜单
  5. 有关漏洞的更多详细信息,以及有关如何修复有漏洞的仓库的建议,请单击仓库名称。

延伸阅读

此文档对您有帮助吗?

隐私政策

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。