Zugriff auf einen Hinweis in der GitHub Advisory Database
Du kannst auf jede Empfehlung in GitHub Advisory Database zugreifen.
-
Navigiere zu https://github.com/advisories.
-
Um die Liste der Empfehlungen zu filtern, verwende optional das Suchfeld oder die Dropdownmenüs am Anfang der Liste.
Hinweis: In der linken Randleiste kannst du die von GitHub überprüften und die nicht überprüften Empfehlungen separat durchsuchen oder nach Ökosystem filtern.
-
Klicke auf eine Empfehlung, um die Details zu sehen. Standardmäßig werden von GitHub überprüfte Empfehlungen zu Sicherheitsrisiken angezeigt. Zeige Empfehlungen zu Schadsoftware mit
type:malware
in der Suchleiste an.
Die Datenbank ist auch über die GraphQL-API zugänglich. Standardmäßig geben Abfragen von GitHub überprüfte Hinweise zu Sicherheitsrisiken zurück – es sei denn, du gibst type:malware
an. Weitere Informationen findest du unter Webhook-Ereignisse und -Nutzlasten.
Darüber hinaus kannst du über die REST-API auf die GitHub Advisory Database zugreifen. Weitere Informationen finden Sie unter REST-API-Endpunkte für globale Sicherheitsempfehlungen.
Bearbeiten einer Empfehlung in GitHub Advisory Database
Du kannst für alle Empfehlungen in GitHub Advisory Database Verbesserungen vorschlagen. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.
Durchsuche die GitHub Advisory Database
Du kannst die Datenbank durchsuchen und die Suche mithilfe von Qualifizierern eingrenzen. Du kannst die Suche z. B. nach Empfehlungen eingrenzen, die an einem bestimmten Datum, in einem bestimmten Ökosystem oder in einer bestimmten Bibliothek erstellt wurden.
Die Datumsformatierung muss dem ISO8601-Standard entsprechen: YYYY-MM-DD
(Jahr-Monat-Tag). Du kannst nach dem Datum auch optionale Zeitinformationen im Format THH:MM:SS+00:00
hinzufügen, um nach Stunde, Minute und Sekunde zu suchen. Das heißt, T
, gefolgt von HH:MM:SS
(Stunden-Minuten-Sekunden) und einem UTC-Offset (+00:00
).
Wenn du nach einem Datum suchst, kannst du „größer als“, „kleiner als“ und Bereichsqualifizierer verwenden, um Ergebnisse weiter zu filtern. Weitere Informationen findest du unter Grundlagen der Suchsyntax.
Qualifizierer | Beispiel |
---|---|
type:reviewed | type:reviewed zeigt von GitHub überprüfte Empfehlungen zu Sicherheitsrisiken an. |
type:malware | type:malware zeigt Schadsoftware-Hinweise an. |
type:unreviewed | type:unreviewed zeigt nicht überprüfte Empfehlungen an. |
GHSA-ID | GHSA-49wp-qq6x-g2rf zeigt die Empfehlung mit dieser GitHub Advisory Database-ID an. |
CVE-ID | CVE-2020-28482 zeigt die Empfehlung mit dieser CVE-ID an. |
ecosystem:ECOSYSTEM | ecosystem:npm zeigt nur Empfehlungen für npm-Pakete an. |
severity:LEVEL | severity:high zeigt nur Empfehlungen mit hohem Schweregrad an. |
affects:LIBRARY | affects:lodash zeigt nur Empfehlungen für die Bibliothek „lodash“ an. |
cwe:ID | cwe:352 zeigt nur Empfehlungen mit dieser CWE-Nummer an. |
credit:USERNAME | credit:octocat zeigt nur Empfehlungen des Benutzerkontos „octocat“ an. |
sort:created-asc | sort:created-asc sortiert die Empfehlungen in absteigender Reihenfolge nach dem Datum. |
sort:created-desc | sort:created-desc sortiert die Empfehlungen in aufsteigender Reihenfolge nach dem Datum. |
sort:updated-asc | sort:updated-asc sortiert die Empfehlungen in absteigender Reihenfolge nach dem Zeitpunkt der Aktualisierung. |
sort:updated-desc | sort:updated-desc sortiert die Empfehlungen in aufsteigender Reihenfolge nach dem Zeitpunkt der Aktualisierung. |
is:withdrawn | is:withdrawn zeigt nur zurückgezogene Empfehlungen an. |
created:YYYY-MM-DD | created:2021-01-13 zeigt nur Empfehlungen an, die an diesem Datum erstellt wurden. |
updated:YYYY-MM-DD | updated:2021-01-13 zeigt nur Empfehlungen an, die an diesem Datum aktualisiert wurden. |
Ein GHSA-ID
-Qualifizierer ist eine eindeutige ID, die wir bei GitHub automatisch jeder Empfehlung in der GitHub Advisory Database zuweisen. Weitere Informationen zu diesen Bezeichnern findest du unter Informationen zur GitHub Advisory Database.
Anzeigen von anfälligen Repositorys
Du kannst für alle von GitHub überprüften Empfehlungen in der GitHub Advisory Database diejenigen Repositorys anzeigen, die von einem bestimmten Sicherheitsrisiko oder Malware betroffen sind. Dafür benötigst du für dieses Repository Zugriff auf Dependabot alerts. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.
- Navigiere zu https://github.com/advisories.
- Klicke auf eine Empfehlung.
- Klicke oben auf der Seite der Empfehlung auf Dependabot-Warnungen.
- Du kannst die Liste auch über die Suchleiste oder mit einem der Dropdownmenüs filtern. Über das Dropdownmenü „Organisation“ kannst du Dependabot alerts nach Besitzer (Organisation oder Benutzer*in) filtern.
- Klicke auf den Namen der Empfehlung, um weitere Informationen zum jeweiligen Sicherheitsrisiko sowie Ratschläge zu dessen Behebung anzuzeigen.
Zugreifen auf die lokale Advisory Database auf GitHub Enterprise Server
Wenn dein Websiteadministrator GitHub Connect für die Instanz aktiviert hat, können überprüfte Empfehlungen auch lokal durchsucht werden. Weitere Informationen findest du unter Informationen zu GitHub Verbinden.
Du kannst mit deiner lokalen Advisory Database überprüfen, ob ein bestimmtes Sicherheitsrisiko vorliegt, und entsprechend Warnungen zu sicherheitsanfälligen Abhängigkeiten erhalten. Du kannst auch alle sicherheitsanfälligen Repositorys anzeigen.
-
Navigiere zu
https://HOSTNAME/advisories
. -
Du kannst die Liste auch mit einem der Dropdownmenüs filtern.
Hinweis: Nur überprüfte Empfehlungen werden aufgelistet. Nicht überprüfte Empfehlungen können in der GitHub Advisory Database auf GitHub.com angezeigt werden. Weitere Informationen findest du unter Zugreifen auf eine Empfehlung in der GitHub Advisory Database.
-
Klicke auf eine Empfehlung, um Details anzuzeigen. Standardmäßig werden von GitHub überprüfte Empfehlungen zu Sicherheitsrisiken angezeigt. Verwende
type:malware
in der Suchleiste zum Anzeigen von Empfehlungen zu Schadsoftware.
Du kannst Verbesserungen von Empfehlungen auch direkt von deiner lokalen Advisory Database aus vorschlagen. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.
Anzeigen anfälliger Repositorys für die Instanz
Unternehmensbesitzer müssen Dependabot alerts für Ihre GitHub Enterprise Server-Instance aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen findest du unter Aktivieren von Dependabot für dein Unternehmen.
In der lokalen Advisory Database kannst du sehen, welche Repositorys von dem jeweiligen Sicherheitsrisiko oder von Malware betroffen sind. Dafür benötigst du für dieses Repository Zugriff auf Dependabot alerts. Weitere Informationen findest du unter Informationen zu Dependabot-Warnungen.
- Navigiere zu
https://HOSTNAME/advisories
. - Klicke auf eine Empfehlung.
- Klicke oben auf der Seite der Empfehlung auf Dependabot-Warnungen.
- Du kannst die Liste auch über die Suchleiste oder mit einem der Dropdownmenüs filtern. Über das Dropdownmenü „Organisation“ kannst du Dependabot alerts nach Besitzer (Organisation oder Benutzer*in) filtern.
- Klicke auf den Namen der Empfehlung, um weitere Informationen zum jeweiligen Sicherheitsrisiko sowie Ratschläge zu dessen Behebung anzuzeigen.