Skip to main content

在 GitHub Advisory Database 中浏览安全公告

可以浏览 GitHub Advisory Database 以查找托管在 GitHub 上的开放源代码项目中的安全风险公告。

访问 GitHub Advisory Database 中的通告

可以访问 GitHub Advisory Database 中的任何公告。

  1. 导航到 https://github.com/advisories。

  2. (可选)要过滤列表,请使用任意下拉菜单。 下拉筛选器

    提示:可以使用左侧边栏分别浏览 GitHub 已审核和未审核的公告。

  3. 单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。

也可以使用 GraphQL API 访问数据库。 有关详细信息,请参阅“security_advisoryWebhook 事件”。

在 GitHub Advisory Database 中编辑公告

您可以对 GitHub Advisory Database 中的任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符缩小搜索范围。 例如,您可以搜索在特定日期、特定生态系统或特定库中创建的通告。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

限定符示例
type:reviewedtype:reviewed 将显示经 GitHub 审核的安全漏洞公告。
type:unreviewedtype:unreviewed 显示未审核的公告。
GHSA-IDGHSA-49wp-qq6x-g2rf 显示包含此 GitHub Advisory Database ID 的公告。
CVE-IDCVE-2020-28482 显示具有此 CVE ID 编号的公告。
ecosystem:ECOSYSTEMecosystem:npm 仅显示影响 NPM 包的公告。
severity:LEVELseverity:high 仅显示具有较高严重性级别的公告。
affects:LIBRARYaffects:lodash 仅显示影响 lodash 库的公告。
cwe:IDcwe:352 仅显示具有此 CWE 编号的公告。
credit:USERNAMEcredit:octocat 仅显示属于“octocat”用户帐户的公告。
sort:created-ascsort:created-asc 按最旧的公告在前的顺序进行排序。
sort:created-descsort:created-desc 按最新的公告在前的顺序进行排序。
sort:updated-ascsort:updated-asc 按更新时间由远及近的顺序排序。
sort:updated-descsort:updated-desc 按更新时间由近及远的顺序排序。
is:withdrawnis:withdrawn 仅显示已撤回的公告。
created:YYYY-MM-DDcreated:2021-01-13 仅显示在此日期创建的公告。
updated:YYYY-MM-DDupdated:2021-01-13 仅显示在此日期更新的公告。

查看有漏洞的仓库

对于 GitHub Advisory Database 中任何经 GitHub 审核的公告,你都可以查看哪些存储库受该安全漏洞的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot alerts”。

  1. 导航到 https://github.com/advisories。
  2. 单击通告。
  3. 在公告页面顶部,单击“Dependabot 警报”。 Dependabot 警报
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。 用于筛选警报的搜索栏和下拉菜单
  5. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。

访问 your GitHub Enterprise Server instance 上的本地公告数据库

如果站点管理员已为 your GitHub Enterprise Server instance 启用 GitHub Connect,你还可以在本地浏览已审核的公告。 有关详细信息,请参阅“关于 GitHub Connect”。

可使用本地公告数据库来检查是否包含特定的安全漏洞,从而检查是否会收到有关易受攻击的依赖项的警报。 还可以查看任何易受攻击的存储库。

  1. 导航到 https://HOSTNAME/advisories

  2. (可选)要过滤列表,请使用任意下拉菜单。 下拉筛选器

    注意:只会列出已审核的公告。 可以在 GitHub.com 上的 GitHub Advisory Database 中查看未审核的公告。 有关详细信息,请参阅“访问 GitHub 公告数据库中的公告”。

  3. 单击公告以查看详细信息。

还可以直接从本地公告数据库中对任何公告提出改进建议。 有关详细信息,请参阅“编辑来自 your GitHub Enterprise Server instance 的公告”。

查看 your GitHub Enterprise Server instance 的易受攻击的存储库

Enterprise owners must enable Dependabot alerts for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Enabling Dependabot for your enterprise."

在本地公告数据库中,可以看到哪些存储库受到每个安全漏洞的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot alerts”。

  1. 导航到 https://HOSTNAME/advisories
  2. 单击通告。
  3. 在公告页面顶部,单击“Dependabot 警报”。 Dependabot 警报
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。 用于筛选警报的搜索栏和下拉菜单
  5. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。