👋 We've unified all of GitHub's product documentation in one place! Check out the content for REST API, GraphQL API, and Developers. Learn more on the GitHub blog.


我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

浏览 GitHub Advisory Database 中的安全漏洞

GitHub Advisory Database 允许您浏览或搜索影响 GitHub 上开源项目的漏洞。

本文内容

关于 GitHub Advisory Database

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的任何软件包的安全漏洞列表。 每个通告列表都包含受影响的仓库以及有漏洞和修补过的版本等信息。 也可以使用 GraphQL API 访问数据库。 For more information, see the "security_advisory webhook event."

我们使用以下来源将漏洞添加到 GitHub Advisory Database:

如果我们检测到 GitHub Advisory Database 中存在影响到您的仓库的任何漏洞,GitHub 将会向您发送安全警报。 For more information, see "About alerts for vulnerable dependencies."

国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。

我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:

  • 关键

您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。

访问 GitHub Advisory Database 中的通告

  1. 导航到 https://github.com/advisories。
  2. (可选)要过滤列表,请使用下拉菜单。
    下拉过滤器
  3. 单击任何通告以查看详情。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符将搜索范围缩小到在特定日期、特定生态系统或特定库中创建的公告。

日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。

日期支持大于、小于和范围限定符

限定符示例
ecosystem:ECOSYSTEMecosystem:npm 只显示影响 NPM 包的通告。
severity:LEVELseverity:high 只显示严重程度高的公告。
affects:LIBRARYaffects:lodash 只显示影响 lodash 库的通告。
sort:created-ascsort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。
sort:created-descsort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。
sort:updated-ascsort:updated-asc 按照更新顺序排序,最早更新的排在最前面。
sort:updated-descsort:updated-desc 按照更新顺序排序,最近更新的排在最前面。
is:withdrawnis:withdrawn 只显示已经撤销的通告。
created:YYYY-MM-DDcreated:2019-10-31 只显示此日期创建的通告。
updated:YYYY-MM-DDupdated:2019-10-31 只显示此日期更新的通告。

问问别人

找不到要找的内容?

联系我们