我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

浏览 GitHub Advisory Database 中的安全漏洞

GitHub Advisory Database 允许您浏览或搜索影响 GitHub 上开源项目的漏洞。

本文内容

此文档对您有帮助吗?

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。

关于安全漏洞

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。

如果我们检测到 GitHub Advisory Database 中存在会影响您的仓库所依赖的软件包的任何漏洞,GitHub 将会向您发送 GitHub Dependabot 警报。 更多信息请参阅“关于易受攻击的依赖项的警报”。

关于 GitHub Advisory Database

GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。 We add vulnerabilities to the GitHub Advisory Database from the following sources:

每个安全通告都包含有关漏洞的信息,包括说明、严重程度、受影响的包、包生态系统、受影响的版本和修补版本、影响以及可选信息(如引用、解决方法和积分)。 此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。

我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:

  • 关键

GitHub Advisory Database 使用 CVSS 版本 3.0 标准和上述 CVSS 级别。 GitHub 不发布 CVSS 分数。

您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。

访问 GitHub Advisory Database 中的通告

  1. 导航到 https://github.com/advisories。
  2. (可选)要过滤列表,请使用任意下拉菜单。
    下拉过滤器
  3. 单击任何通告以查看详情。

也可以使用 GraphQL API 访问数据库。 更多信息请参阅“security_advisory web 挂钩事件”。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符将搜索范围缩小到在特定日期、特定生态系统或特定库中创建的公告。

日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。

日期支持大于、小于和范围限定符

限定符示例
ecosystem:ECOSYSTEMecosystem:npm 只显示影响 NPM 包的通告。
severity:LEVELseverity:high 只显示严重程度高的公告。
affects:LIBRARYaffects:lodash 只显示影响 lodash 库的通告。
sort:created-ascsort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。
sort:created-descsort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。
sort:updated-ascsort:updated-asc 按照更新顺序排序,最早更新的排在最前面。
sort:updated-descsort:updated-desc 按照更新顺序排序,最近更新的排在最前面。
is:withdrawnis:withdrawn 只显示已经撤销的通告。
created:YYYY-MM-DDcreated:2019-10-31 只显示此日期创建的通告。
updated:YYYY-MM-DDupdated:2019-10-31 只显示此日期更新的通告。

延伸阅读

此文档对您有帮助吗?

帮助我们创建出色的文档!

所有 GitHub 文档都是开源的。看到错误或不清楚的内容了吗?提交拉取请求。

做出贡献

或, 了解如何参与。