Skip to main content

Browsing security advisories in the GitHub Advisory Database

You can browse the GitHub Advisory Database to find advisories for security risks in open source projects that are hosted on GitHub.

Acerca de GitHub Advisory Database

The GitHub Advisory Database contains a list of known security vulnerabilities and malware, grouped in two categories: GitHub-reviewed advisories and unreviewed advisories.

Agregamos asesorías a la GitHub Advisory Database desde las siguientes fuentes:

About types of security advisories

Note: Advisories for malware are currently in beta and subject to change.

Each advisory in the GitHub Advisory Database is for a vulnerability in open source projects or for malicious open source software.

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque. Vulnerabilities in code are usually introduced by accident and fixed soon after they are discovered. You should update your code to use the fixed version of the dependency as soon as it is available.

In contrast, malicious software, or malware, is code that is intentionally designed to perform unwanted or harmful functions. The malware may target hardware, software, confidential data, or users of any application that uses the malware. You need to remove the malware from your project and find an alternative, more secure replacement for the dependency.

GitHub-reviewed advisories

GitHub-reviewed advisories are security vulnerabilities or malware that have been mapped to packages in ecosystems we support. We carefully review each advisory for validity and ensure that they have a full description, and contain both ecosystem and package information.

Generally, we name our supported ecosystems after the software programming language's associated package registry. We review advisories if they are for a vulnerability in a package that comes from a supported registry.

If you have a suggestion for a new ecosystem we should support, please open an issue for discussion.

If you enable Las alertas del dependabot for your repositories, you are automatically notified when a new GitHub-reviewed advisory reports a vulnerability or malware for a package you depend on. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

Unreviewed advisories

Las asesorías sin revisar son vulnerabilidades de seguridad que publicamos automáticamente en la GitHub Advisory Database, directamente desde la fuente de la Base de Datos Nacional de Vulnerabilidades.

El Dependabot no crea Las alertas del dependabot para las asesorías sin revisar, ya que este tipo de asesoría no se revisa en su validez o finalización.

About information in security advisories

Cada asesoría de seguridad contiene información sobre la vulnerabilidad o el malware, la cual puede incluir la descripción, gravedad, paquete afectado, ecosistema del paquete, versiones afectadas y versiones parchadas, impacto e información opcional, tal como referencias, soluciones alternas y créditos. Adicionalmente, las asesorías de la National Vulnerability Database contiene un enlace al registro de CVE, en donde puedes leer más sobre los detalles de la vulnerabilidad, su puntuación de CVSS y su nivel de severidad cualitativo. Para obtener más información, consulta la "National Vulnerability Database" del Instituto Nacional de Estándares y Tecnología.

El nivel de gravedad es uno de cuatro niveles posibles que se definen en el Sistema de clasificación de vulnerabilidades comunes (CVSS), Sección 5".

  • Bajo
  • Medio/Moderado
  • Alto
  • Crítico

La GitHub Advisory Database utiliza los niveles del CVSS tal como se describen anteriormente. Si GitHub obtiene un CVE, la GitHub Advisory Database utilizará el CVSS versión 3.1. Si se importa el CVE, la GitHub Advisory Database será compatible tanto con la versión 3.0 como con la 3.1 del CVSS.

También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.

Acceder a una asesoría en la GitHub Advisory Database

  1. Navega hasta https://github.com/advisories.

  2. Opcionalmente, para filtrar la lista, utiliza cualquiera de los menúes desplegables. Filtros desplegables

    Tip: Puedes utilizar la barra lateral a la izquierda para explorar las asesorías que revisa GitHub y aquellas sin revisar, por separado.

  3. Da clic en cualquier asesoría para ver los detalles. By default, you will see GitHub-reviewed advisories for security vulnerabilities. To show malware advisories, use type:malware in the search bar.

También se puede acceder a la base de datos utilizando la API de GraphQL. By default, queries will return GitHub-reviewed advisories for security vulnerabilities unless you specify type:malware. Para obtener más información, consulta la sección "evento de webhook de security_advisory".

Editar una asesoría en la GitHub Advisory Database

Puedes sugerir mejoras a cualquier asesoría en la GitHub Advisory Database. Para obtener más información, consulta la sección "Editar las asesorías de seguridad en la GitHub Advisory Database".

Buscar en la GitHub Advisory Database por coincidencia exacta

Puedes buscar la base de datos y utilizar los calificadores para definir más tu búsqueda. Por ejemplo, puedes buscar las asesorías que se hayan creado en una fecha, ecosistema o biblioteca específicos.

El formato de fecha debe seguir el estándar ISO8601, el cual es YYYY-MM-DD (año-mes-día). También puedes agregar información de tiempo ocpional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Se hace agregando T, seguido de HH:MM:SS (hora-minutos-segundos), y un intervalo de UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para obtener más información, consulta la sección "Entender la sintaxis de búsqueda".

QualifierEjemplo
type:reviewedtype:reviewed will show GitHub-reviewed advisories for security vulnerabilities.
type:malwaretype:malware will show GitHub-reviewed advisories for malware.
type:unreviewedtype:unreviewed mostrará las asesorías sin revisar.
GHSA-IDGHSA-49wp-qq6x-g2rf mostrará la asesoría con esta ID de GitHub Advisory Database.
CVE-IDCVE-2020-28482 mostrará la asesoría con este número de ID de CVE.
ecosystem:ECOSYSTEMecosystem:npm mostrará únicamente asesorías que afecten paquetes NPM.
severity:LEVELseverity:high mostrará únicamente asesorías con nivel de gravedad alto.
affects:LIBRARYaffects:lodash mostrará únicamente asesorías que afecten la biblioteca lodash.
cwe:IDcwe:352 mostrará únicamente las asesorías con este número de CWE.
credit:USERNAMEcredit:octocat mostrará únicamente las asesorías que se atribuyen a la cuenta de usuario "octocat".
sort:created-ascsort:created-asc organizará los resultados para mostrar las asesorías más viejas primero.
sort:created-descsort:created-desc organizará los resultados para mostrar las asesorías más nuevas primero.
sort:updated-ascsort:updated-asc organizará los resultados para mostrar aquellos actualizados menos recientemente.
sort:updated-descsort:updated-desc organizará los resultados para mostrar los aquellos actualizados más recientemente.
is:withdrawnis:withdrawn mostrará únicamente las asesorías que se han retirado.
created:YYYY-MM-DDcreated:2021-01-13 mostrará únicamente las asesorías creadas en esta fecha.
updated:YYYY-MM-DDupdated:2021-01-13 mostrará únicamente asesorías actualizadas en esta fecha.

Visualizar tus repositorios vulnerables

For any GitHub-reviewed advisory in the GitHub Advisory Database, you can see which of your repositories are affected by that security vulnerability or malware. Para ver un repositorio vulnerable, debes tener acceso a las Las alertas del dependabot de este. Para obtener más información, consulta la sección "Acerca de las Las alertas del dependabot".

  1. Navega hasta https://github.com/advisories.
  2. Haz clic en una asesoría.
  3. En la parte superior de la página de la asesoría, haz clic en Alertas del dependabot. Las alertas del dependabot
  4. Opcionalmente, para filtrar la lista, utiliza la barra de búsqueda o los menús desplegables. El menú desplegable de "Organización" te permite filtrar las Las alertas del dependabot por propietario (organización o usuario). Barra de búsqueda y menús desplegables para filtrar alertas
  5. For more details about the advisory, and for advice on how to fix the vulnerable repository, click the repository name.

Leer más