关于安全漏洞
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。
如果我们检测到 GitHub Advisory Database 中存在会影响您的仓库所依赖的软件包的任何漏洞,GitHub 将会向您发送 Dependabot 警报。 更多信息请参阅“关于易受攻击的依赖项的警报”。
关于 GitHub Advisory Database
GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。 我们从以下来源添加漏洞到 GitHub Advisory Database:
每个安全通告都包含有关漏洞的信息,包括说明、严重程度、受影响的包、包生态系统、受影响的版本和修补版本、影响以及可选信息(如引用、解决方法和积分)。 此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。
我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:
- 低
- 中
- 高
- 关键
GitHub Advisory Database 使用 CVSS 版本 3.0 标准和上述 CVSS 级别。 GitHub 不发布 CVSS 分数。
您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。
访问 GitHub Advisory Database 中的通告
- 导航到 https://github.com/advisories。
- (可选)要过滤列表,请使用任意下拉菜单。
- 单击任何通告以查看详情。
也可以使用 GraphQL API 访问数据库。 更多信息请参阅“security_advisory web 挂钩事件”。
搜索 GitHub Advisory Database
您可以搜索数据库,并使用限定符将搜索范围缩小到在特定日期、特定生态系统或特定库中创建的公告。
日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。
搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 更多信息请参阅“了解搜索语法”。
| 限定符 | 示例 |
|---|---|
ecosystem:ECOSYSTEM | ecosystem:npm 只显示影响 NPM 包的通告。 |
severity:LEVEL | severity:high 只显示严重程度高的公告。 |
affects:LIBRARY | affects:lodash 只显示影响 lodash 库的通告。 |
sort:created-asc | sort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。 |
sort:created-desc | sort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。 |
sort:updated-asc | sort:updated-asc 按照更新顺序排序,最早更新的排在最前面。 |
sort:updated-desc | sort:updated-desc 按照更新顺序排序,最近更新的排在最前面。 |
is:withdrawn | is:withdrawn 只显示已经撤销的通告。 |
created:YYYY-MM-DD | created:2019-10-31 只显示此日期创建的通告。 |
updated:YYYY-MM-DD | updated:2019-10-31 只显示此日期更新的通告。 |
延伸阅读
- MITRE 的“漏洞”定义