关于 GitHub Advisory Database
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的任何软件包的安全漏洞列表。 每个通告列表都包含受影响的仓库以及有漏洞和修补过的版本等信息。 也可以使用 GraphQL API 访问数据库。 For more information, see the "security_advisory webhook event."
我们使用以下来源将漏洞添加到 GitHub Advisory Database:
- 国家漏洞数据库
- 机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞
- GitHub 上的安全通告
- FriendsOfPHP
如果我们检测到 GitHub Advisory Database 中存在影响到您的仓库的任何漏洞,GitHub 将会向您发送安全警报。 For more information, see "About alerts for vulnerable dependencies."
国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。
我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:
- 低
- 中
- 高
- 关键
您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。
访问 GitHub Advisory Database 中的通告
- 导航到 https://github.com/advisories。
- (可选)要过滤列表,请使用下拉菜单。
- 单击任何通告以查看详情。
搜索 GitHub Advisory Database
您可以搜索数据库,并使用限定符将搜索范围缩小到在特定日期、特定生态系统或特定库中创建的公告。
日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。
日期支持大于、小于和范围限定符。
| 限定符 | 示例 |
|---|---|
ecosystem:ECOSYSTEM | ecosystem:npm 只显示影响 NPM 包的通告。 |
severity:LEVEL | severity:high 只显示严重程度高的公告。 |
affects:LIBRARY | affects:lodash 只显示影响 lodash 库的通告。 |
sort:created-asc | sort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。 |
sort:created-desc | sort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。 |
sort:updated-asc | sort:updated-asc 按照更新顺序排序,最早更新的排在最前面。 |
sort:updated-desc | sort:updated-desc 按照更新顺序排序,最近更新的排在最前面。 |
is:withdrawn | is:withdrawn 只显示已经撤销的通告。 |
created:YYYY-MM-DD | created:2019-10-31 只显示此日期创建的通告。 |
updated:YYYY-MM-DD | updated:2019-10-31 只显示此日期更新的通告。 |