Skip to main content

Informationen zu GitHub Advisory Database

Die GitHub Advisory Database enthält eine Liste bekannter Sicherheitslücken und Schadsoftware, gruppiert in drei Kategorien: GitHub-geprüfte Advisories, ungeprüfte Advisories und Malware Advisories.

Informationen zu GitHub Advisory Database

Wir fügen der GitHub Advisory Database Hinweise aus den folgenden Quellen hinzu:

Wenn du eine andere Datenbank kennst, aus der wir Empfehlungen importieren sollten, informiere uns darüber, indem du ein Problem in https://github.com/github/advisory-database öffnest.

Sicherheitsempfehlungen werden als JSON-Dateien im OSV-Format (Open Source Vulnerability) veröffentlicht. Weitere Informationen zum OSV-Format findest du unter Format von Open Source-Sicherheitsrisiken.

Informationen zu Typen von Sicherheitsempfehlungen

Jeder Hinweis in der GitHub Advisory Database bezieht sich auf ein Sicherheitsrisiko in Open Source-Projekten oder böswillige Open Source-Software.

Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Sicherheitsrisiken im Code entstehen in der Regel versehentlich und werden bald nach ihrer Entdeckung beseitigt. Du solltest deinen Code aktualisieren, um die korrigierte Version der Abhängigkeit zu verwenden, sobald sie verfügbar ist.

Im Gegensatz dazu ist Schadsoftware oder Malware Code, der absichtlich für unerwünschte oder schädliche Funktionen konzipiert wird. Die Schadsoftware kann auf Hardware, Software, vertrauliche Daten oder Benutzer einer beliebigen Anwendung abzielen, die die Schadsoftware verwendet. Du musst die Schadsoftware aus deinem Projekt entfernen und einen alternativen, sichereren Ersatz für die Abhängigkeit finden.

Von GitHub überprüfte Empfehlungen

Im Allgemeinen benennen wir unsere unterstützten Ökosysteme nach der Paketregistrierung, die der Softwareprogrammiersprache zugeordnet ist. Wir überprüfen Empfehlungen, wenn sie sich auf ein Sicherheitsrisiko in einem Paket beziehen, das von einer unterstützten Registrierung stammt.

Wenn du einen Vorschlag für ein neues Ökosystem hast, das wir unterstützen sollten, öffne bitte ein Issue für die Diskussion.

Wenn Sie Dependabot alerts für Ihre Repositories aktivieren, werden Sie automatisch benachrichtigt, wenn ein neues GitHub-geprüftes Advisory eine Sicherheitslücke für ein Paket meldet, von dem Sie abhängig sind. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.

Nicht überprüfte Empfehlungen

Nicht überprüfte Empfehlungen sind Sicherheitsrisiken, die direkt aus dem Feed der National Vulnerability Database (Nationale Datenbank zu Sicherheitsrisiken) automatisch in GitHub Advisory Database veröffentlicht werden.

Dependabot erstellt keine Dependabot alerts für nicht überprüfte Empfehlungen, da diese nicht auf Gültigkeit oder Vollständigkeit überprüft werden.

Schadsoftware-Hinweise

Hinweis: Hinweise zu Schadsoftware sind derzeit in der Betaphase, und Änderungen sind vorbehalten.

Schadsoftware-Empfehlungen beziehen sich auf Sicherheitsrisiken, die durch Schadsoftware verursacht werden, und sind Sicherheitsratgeber, die GitHub automatisch in den GitHub Advisory Database veröffentlicht, direkt aus Informationen, die vom npm-Sicherheitsteam bereitgestellt werden. Malware-Empfehlungen sind ausschließlich für das npm-Ökosystem. GitHub akzeptiert keine Community-Beiträge für diese Empfehlungen.

Dependabot generiert keine Warnungen, wenn Schadsoftware erkannt wird, da die meisten Sicherheitsrisiken von nachgeschalteten Benutzern nicht behoben werden können. Sie können Schadsoftware-Hinweise anzeigen, indem Sie in den GitHub Advisory Database nach type:malware suchen.

Unsere Schadsoftware-Hinweise sind hauptsächlich über Ersetzungsangriffe. Während dieser Art von Angriff veröffentlicht ein Angreifer ein Paket in der öffentlichen Registrierung mit demselben Namen wie eine Abhängigkeit, auf die sich Benutzer von einer Drittanbieter- oder privaten Registrierung verlassen, mit der Hoffnung, dass die bösartige Version genutzt wird. Dependabot untersucht keine Projektkonfigurationen, um festzustellen, ob die Pakete aus einer privaten Registrierung stammen, daher sind wir nicht sicher, ob Sie die schädliche Version oder eine nicht schädliche Version verwenden. Benutzer, die ihre Abhängigkeiten entsprechend abgesichert haben, sollten nicht von Schadsoftware betroffen sein.

Informationen in Sicherheitsempfehlungen

In diesem Abschnitt findest du ausführlichere Informationen zu Sicherheitsempfehlungen in der GitHub Advisory Database, z. B.:

  • Empfehlungs-IDs und welches Format diese Bezeichner verwenden
  • Die CVSS-Ebenen, die wir zum Zuweisen von Schweregraden verwendet haben

Informationen zu GHSA-IDs

Jede Sicherheitsempfehlung weist unabhängig vom Typ einen eindeutigen Bezeichner auf, der als GHSA-ID bezeichnet wird. Ein GHSA-ID-Qualifizierer wird zugewiesen, wenn eine neue Empfehlung für GitHub.com erstellt oder die GitHub Advisory Database aus einer der unterstützten Quellen hinzugefügt wird.

Die Syntax der GHSA-IDs folgt dem Format GHSA-xxxx-xxxx-xxxx, wobei Folgendes gilt:

  • x ist ein Buchstabe oder eine Zahl aus der folgenden Gruppe: 23456789cfghjmpqrvwx.
  • Außerhalb des GHSA-Anteils des Namens:
    • Die Zahlen und Buchstaben werden nach dem Zufallsprinzip zugewiesen.
    • Alle Buchstaben werden in Kleinbuchstaben geschrieben.

Du kannst eine GHSA-ID mithilfe eines regulären Ausdrucks überprüfen.

Bash
/GHSA(-[23456789cfghjmpqrvwx]{4}){3}/

Informationen zu CVSS-Ebenen

Jede Sicherheitsempfehlung enthält Informationen zum jeweiligen Sicherheitsrisiko oder zur Malware, z. B. Beschreibung, Schweregrad, betroffenes Paket, Paketökosystem, betroffenen Versionen und Patchversionen, Auswirkungen sowie optionale Informationen wie Verweise, Problemumgehungen und Quellen. Zudem enthalten die Empfehlungen aus der Liste der National Vulnerability Database einen Link zum CVE-Eintrag mit weiteren Details zum Sicherheitsrisiko, der CVSS-Bewertung und dem qualitativen Schweregrad. Weitere Informationen findest du unter National Vulnerability Database des National Institute of Standards and Technology (NIST).

Der Schweregrad ist eine von vier möglichen Ebenen, die in Abschnitt 5 des Common Vulnerability Score System (CVSS) (Allgemeines Bewertungssystem für Schwachstellen) definiert sind.

  • Niedrig
  • Mittel/Moderat
  • High
  • Kritisch

GitHub Advisory Database verwendet die oben beschriebenen CVSS-Ebenen. Ruft GitHub einen CVE-Eintrag ab, verwendet GitHub Advisory Database die CVSS-Version 3.1. Wird der CVE-Eintrag importiert, unterstützt GitHub Advisory Database die CVSS-Versionen 3.0 und 3.1.

Du kannst auch GitHub Security Lab beitreten, um sicherheitsbezogene Themen zu durchsuchen und zu Sicherheitstools und Projekten beizutragen.

Weitere Informationsquellen