Sicherheitslücken in der GitHub Advisory Database durchsuchen

Die GitHub Advisory Database erlaubt Dir, nach Schwachstellen zu suchen, die Open-Source-Projekte auf GitHub betreffen.

Informationen zu Sicherheitslücken

Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Vulnerabilities vary in type, severity, and method of attack.

GitHub will send you Dependabot alerts if we detect that any of the vulnerabilities from the GitHub Advisory Database affect the packages that your repository depends on. For more information, see "About alerts for vulnerable dependencies." |

Informationen zu GitHub Advisory Database

The GitHub Advisory Database contains a curated list of security vulnerabilities that have been mapped to packages tracked by the GitHub dependency graph. We add vulnerabilities to the GitHub Advisory Database from the following sources:

  • Die National Vulnerability Database (Nationale Sicherheitsrisiken-Datenbank)
  • Eine Kombination aus maschinellem Lernen und menschlichem Review zum Erkennen von Sicherheitsrisiken in öffentlichen Commits auf GitHub
  • Security advisories reported on GitHub
  • The npm Security advisories database

Each security advisory contains information about the vulnerability, including the description, severity, affected package, package ecosystem, affected versions and patched versions, impact, and optional information such as references, workarounds, and credits. In addition, advisories from the National Vulnerability Database list contain a link to the CVE record, where you can read more details about the vulnerability, its CVSS scores, and its qualitative severity level. Weitere Informationen findest Du unter „National Vulnerability Database" (Nationale Schwachstellen-Datenbank) des 'National Institute of Standards and Technology' (Amerikanisches Nationales Institut für Standards und Technologie).

The severity level is one of four possible levels defined in the "Common Vulnerability Scoring System (CVSS), Section 5."

  • Niedrig
  • Medium/Moderate
  • Hoch
  • Kritisch

The GitHub Advisory Database uses the CVSS levels described above. If GitHub obtains a CVE, the GitHub Advisory Database uses CVSS version 3.1. If the CVE is imported, the GitHub Advisory Database supports both CVSS versions 3.0 and 3.1.

Du kannst Dich auch GitHub Security Lab anschließen, um sicherheitsrelevante Themen zu durchsuchen und zu Sicherheitswerkzeugen und -Projekten beizutragen.

Zugriff auf einen Hinweis in der GitHub Advisory Database

  1. Navigiere zu „https://github.com/advisories“.
  2. Optionally, to filter the list, use any of the drop-down menus. Dropdownmenüs zum filtrieren
  3. Klicke auf irgendeinen Hinweis, um die Details zu sehen.

Die Datenbank ist auch über die GraphQL-API zugänglich. For more information, see the "security_advisory webhook event."

Durchsuche die GitHub Advisory Database

You can search the database, and use qualifiers to narrow your search. For example, you can search for advisories created on a certain date, in a specific ecosystem, or in a particular library.

Die Datumsformatierung muss dem ISO8601-Standard entsprechen, der YYYY-MM-DD (Jahr-Monat-Tag) ist. Du kannst nach dem Datum auch optionale Zeitinformationen THH:MM:SS+00:00 hinzufügen, um nach der Stunde, Minute und Sekunde zu suchen. Das ist T, gefolgt von HH:MM:SS (Stunden:Minuten:Sekunden) und einem UTC-Offset (+00:00).

When you search for a date, you can use greater than, less than, and range qualifiers to further filter results. For more information, see "Understanding the search syntax."

QualifiziererBeispiel
GHSA-IDGHSA-49wp-qq6x-g2rf will show the advisory with this GitHub Advisory Database ID.
CVE-IDCVE-2020-28482 will show the advisory with this CVE ID number.
ecosystem:ÖKOSYSTEMecosystem:npm wird nur Hinweise zeigen, die NPM Pakete betreffen.
severity:STUFEseverity:high wird nur Hinweise mit einer Schweregrad von Hoch zeigen.
affects:BIBLIOTHEKaffects:lodash wird nur Hinweise anzeigen, die die lodash Bibliothek betreffen.
cwe:IDcwe:352 will show only advisories with this CWE number.
credit:USERNAMEcredit:octocat will show only advisories credited to the "octocat" user account.
sort:created-ascsort:created-asc sortiert nach ältesten Hinweisen zuerst.
sort:created-descsort:created-desc sortiert nach neuesten Hinweisen zuerst.
sort:updated-ascsort:updated-asc sortiert nach den ältesten Aktualisierungen von Hinweisen zuerst.
sort:updated-descsort:updated-desc sortiert nach den neuesten Aktualisierungen von Hinweisen zuerst.
is:withdrawnis:withdrawn zeigt nur zurückgezogene Hinweise.
created:YYYY-MM-DDcreated:2021-01-13 zeigt nur Hinweise, die an diesem Datum erstellt wurden.
updated:YYYY-MM-DDupdated:2021-01-13 zeigt nur Hinweise, die an diesem Datum aktualisiert wurden.

Viewing your vulnerable repositories

For any vulnerability in the GitHub Advisory Database, you can see which of your repositories have a Dependabot alert for that vulnerability. To see a vulnerable repository, you must have access to Dependabot alerts for that repository. For more information, see "About alerts for vulnerable dependencies." |

  1. Navigiere zu „https://github.com/advisories“.
  2. Click an advisory.
  3. At the top of the advisory page, click Dependabot alerts. Dependabot alerts
  4. Optionally, to filter the list, use the search bar or the drop-down menus. The "Organization" drop-down menu allows you to filter the Dependabot alerts per owner (organization or user). Search bar and drop-down menus to filter alerts
  5. For more details about the vulnerability, and for advice on how to fix the vulnerable repository, click the repository name.

Weiterführende Informationen

Did this doc help you?Privacy policy

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

Oder, learn how to contribute.