Informationen zu GitHub Advisory Database

In diesem Artikel

GitHub Advisory Database enthält eine Liste bekannter Sicherheitsrisiken und Malware, , die in die beiden Kategorien „Empfehlungen, die von GitHub überprüft wurden“ und „nicht überprüfte Empfehlungen“ gruppiert sind.

Informationen zu GitHub Advisory Database

Wir fügen der GitHub Advisory Database Hinweise aus den folgenden Quellen hinzu:

Wenn du eine andere Datenbank kennst, aus der wir Empfehlungen importieren sollten, informiere uns darüber, indem du ein Problem in https://github.com/github/advisory-database öffnest.

Sicherheitsempfehlungen werden als JSON-Dateien im OSV-Format (Open Source Vulnerability) veröffentlicht. Weitere Informationen zum OSV-Format findest du unter Format von Open Source-Sicherheitsrisiken.

Informationen zu Typen von Sicherheitsempfehlungen

Hinweis: Hinweise zu Schadsoftware sind derzeit in der Betaphase, und Änderungen sind vorbehalten.

Jeder Hinweis in der GitHub Advisory Database bezieht sich auf ein Sicherheitsrisiko in Open Source-Projekten oder böswillige Open Source-Software.

Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Sicherheitsrisiken variieren im Hinblick auf Typ, Schweregrad und Angriffsmethode. Sicherheitsrisiken im Code entstehen in der Regel versehentlich und werden bald nach ihrer Entdeckung beseitigt. Du solltest deinen Code aktualisieren, um die korrigierte Version der Abhängigkeit zu verwenden, sobald sie verfügbar ist.

Im Gegensatz dazu ist Schadsoftware oder Malware Code, der absichtlich für unerwünschte oder schädliche Funktionen konzipiert wird. Die Schadsoftware kann auf Hardware, Software, vertrauliche Daten oder Benutzer einer beliebigen Anwendung abzielen, die die Schadsoftware verwendet. Du musst die Schadsoftware aus deinem Projekt entfernen und einen alternativen, sichereren Ersatz für die Abhängigkeit finden.

Von GitHub überprüfte Empfehlungen

Von GitHub überprüfte Empfehlungen beziehen sich auf Sicherheitsrisiken oder Malware, die Paketen in von uns unterstützten Ökosystemen zugeordnet wurden. Wir überprüfen jede Empfehlung sorgfältig auf ihre Gültigkeit und stellen sicher, dass sie eine vollständige Beschreibung sowie Informationen zum Ökosystem und zum Paket enthält.

Im Allgemeinen benennen wir unsere unterstützten Ökosysteme nach der Paketregistrierung, die der Softwareprogrammiersprache zugeordnet ist. Wir überprüfen Empfehlungen, wenn sie sich auf ein Sicherheitsrisiko in einem Paket beziehen, das von einer unterstützten Registrierung stammt.

Wenn du einen Vorschlag für ein neues Ökosystem hast, das wir unterstützen sollten, öffne bitte ein Issue für die Diskussion.

Wenn du Dependabot alerts für deine Repositorys aktivierst, wirst du automatisch benachrichtigt, wenn eine neue, von GitHub überprüfte Empfehlung ein Sicherheitsrisiko oder Malware für ein Paket meldet, von dem du abhängig bist. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.

Nicht überprüfte Empfehlungen

Nicht überprüfte Empfehlungen sind Sicherheitsrisiken, die direkt aus dem Feed der National Vulnerability Database (Nationale Datenbank zu Sicherheitsrisiken) automatisch in GitHub Advisory Database veröffentlicht werden.

Dependabot erstellt keine Dependabot alerts für nicht überprüfte Empfehlungen, da diese nicht auf Gültigkeit oder Vollständigkeit überprüft werden.

Informationen in Sicherheitsempfehlungen

In diesem Abschnitt findest du ausführlichere Informationen zu Sicherheitsempfehlungen in der GitHub Advisory Database, z. B.:

  • Empfehlungs-IDs und welches Format diese Bezeichner verwenden
  • Die CVSS-Ebenen, die wir zum Zuweisen von Schweregraden verwendet haben

Informationen zu GHSA-IDs

Jede Sicherheitsempfehlung weist unabhängig vom Typ einen eindeutigen Bezeichner auf, der als GHSA-ID bezeichnet wird. Ein GHSA-ID-Qualifizierer wird zugewiesen, wenn eine neue Empfehlung für GitHub.com erstellt oder die GitHub Advisory Database aus einer der unterstützten Quellen hinzugefügt wird.

Die Syntax der GHSA-IDs folgt dem Format GHSA-xxxx-xxxx-xxxx, wobei Folgendes gilt:

  • x ist ein Buchstabe oder eine Zahl aus der folgenden Gruppe: 23456789cfghjmpqrvwx.
  • Außerhalb des GHSA-Anteils des Namens:
    • Die Zahlen und Buchstaben werden nach dem Zufallsprinzip zugewiesen.
    • Alle Buchstaben werden in Kleinbuchstaben geschrieben.

Du kannst eine GHSA-ID mithilfe eines regulären Ausdrucks überprüfen.

Bash
/GHSA(-[23456789cfghjmpqrvwx]{4}){3}/

Informationen zu CVSS-Ebenen

Jede Sicherheitsempfehlung enthält Informationen zum jeweiligen Sicherheitsrisiko oder zur Malware, z. B. Beschreibung, Schweregrad, betroffenes Paket, Paketökosystem, betroffenen Versionen und Patchversionen, Auswirkungen sowie optionale Informationen wie Verweise, Problemumgehungen und Quellen. Zudem enthalten die Empfehlungen aus der Liste der National Vulnerability Database einen Link zum CVE-Eintrag mit weiteren Details zum Sicherheitsrisiko, der CVSS-Bewertung und dem qualitativen Schweregrad. Weitere Informationen findest du unter National Vulnerability Database des National Institute of Standards and Technology (NIST).

Der Schweregrad ist eine von vier möglichen Ebenen, die in Abschnitt 5 des Common Vulnerability Score System (CVSS) (Allgemeines Bewertungssystem für Schwachstellen) definiert sind.

  • Niedrig
  • Mittel/Moderat
  • High
  • Kritisch

GitHub Advisory Database verwendet die oben beschriebenen CVSS-Ebenen. Ruft GitHub einen CVE-Eintrag ab, verwendet GitHub Advisory Database die CVSS-Version 3.1. Wird der CVE-Eintrag importiert, unterstützt GitHub Advisory Database die CVSS-Versionen 3.0 und 3.1.

Du kannst auch GitHub Security Lab beitreten, um sicherheitsbezogene Themen zu durchsuchen und zu Sicherheitstools und Projekten beizutragen.

Weitere Informationsquellen