Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Exploración de los avisos de seguridad en GitHub Advisory Database

Puedes examinar GitHub Advisory Database para buscar avisos relacionados con los riesgos de seguridad en proyectos de código abierto hospedados en GitHub.

Acceder a una asesoría en la GitHub Advisory Database

Puedes acceder a una asesoría en la GitHub Advisory Database.

  1. Vaya a https://github.com/advisories.

  2. Opcionalmente, para filtrar la lista, utiliza cualquiera de los menúes desplegables. Filtros desplegables

    Sugerencia: Puede utilizar la barra lateral de la izquierda para explorar las advertencias que revisa GitHub y las no revisadas por separado.

  3. Haz clic en cualquier aviso para ver los detalles. De manera predeterminada, verás avisos revisados por GitHub para las vulnerabilidades de seguridad.

También se puede acceder a la base de datos utilizando la API de GraphQL. Para obtener más información, consulta el "evento de webhooksecurity_advisory".

Editar una asesoría en la GitHub Advisory Database

Puedes sugerir mejoras a cualquier asesoría en la GitHub Advisory Database. Para más información, vea "Edición de avisos de seguridad en GitHub Advisory Database".

Buscar en la GitHub Advisory Database por coincidencia exacta

Puedes buscar la base de datos y utilizar los calificadores para definir más tu búsqueda. Por ejemplo, puedes buscar las asesorías que se hayan creado en una fecha, ecosistema o biblioteca específicos.

El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, vea "Descripción de la sintaxis de búsqueda".

Calificador:Ejemplo
type:reviewedtype:reviewed mostrará avisos revisados por GitHub para las vulnerabilidades de seguridad.
type:unreviewedtype:unreviewed mostrará las advertencias no revisadas.
GHSA-IDGHSA-49wp-qq6x-g2rf mostrará la advertencia con este id. de GitHub Advisory Database.
CVE-IDCVE-2020-28482 mostrará la advertencia con este número de id. CVE.
ecosystem:ECOSYSTEMecosystem:npm mostrará solo las advertencias que afecten a los paquetes de NPM.
severity:LEVELseverity:high solo mostrará advertencias con un nivel de gravedad alto.
affects:LIBRARYaffects:lodash mostrará solo advertencias que afecten a la biblioteca lodash.
cwe:IDcwe:352 solo mostrará advertencias con este número CWE.
credit:USERNAMEcredit:octocat solo mostrará advertencias acreditadas en la cuenta de usuario "octocat".
sort:created-ascsort:created-asc ordenará primero por las advertencias más antiguas.
sort:created-descsort:created-desc ordenará primero por las advertencias más recientes.
sort:updated-ascsort:updated-asc ordenará primero por la actualización menos reciente.
sort:updated-descsort:updated-desc ordenará primero por la actualización más reciente.
is:withdrawnis:withdrawn mostrará solo advertencias que se han retirado.
created:YYYY-MM-DDcreated:2021-01-13 mostrará solo advertencias creadas en esta fecha.
updated:YYYY-MM-DDupdated:2021-01-13 mostrará solo advertencias actualizadas en esta fecha.

Visualizar tus repositorios vulnerables

Para cualquier aviso revisado por GitHub en GitHub Advisory Database, puedes ver cuáles de los repositorios se ven afectados por esa vulnerabilidad de seguridad. Para ver un repositorio vulnerable, debes tener acceso a las Dependabot alerts de este. Para más información, vea "Acerca de Dependabot alerts".

  1. Vaya a https://github.com/advisories.
  2. Haz clic en una asesoría.
  3. En la parte superior de la página de advertencias, haga clic en Dependabot alerts (Alertas de Dependabot). Alertas de Dependabot
  4. Opcionalmente, para filtrar la lista, utiliza la barra de búsqueda o los menús desplegables. El menú desplegable de "Organización" te permite filtrar las Dependabot alerts por propietario (organización o usuario). Barra de búsqueda y menús desplegables para filtrar alertas
  5. Para más detalles sobre el aviso y consejos sobre cómo corregir el repositorio vulnerable, haz clic en el nombre del repositorio.

Acceso a la base de datos de asesoría local en your GitHub Enterprise Server instance

Si el administrador del sitio ha habilitado GitHub Connect para your GitHub Enterprise Server instance, también puedes examinar las asesorías revisados localmente. Para obtener más información, consulta "Acerca de GitHub Connect".

Puede usar la base de datos de avisos local para comprobar si se incluye una vulnerabilidad de seguridad específica y, por tanto, si recibirás alertas de las dependencias vulnerables. También puedes ver cualquier repositorio vulnerable.

  1. Vaya a https://HOSTNAME/advisories.

  2. Opcionalmente, para filtrar la lista, utiliza cualquiera de los menúes desplegables. Filtros desplegables

    Nota: Solo se mostrarán avisos revisados. Los avisos no revisados se pueden ver en GitHub Advisory Database en GitHub.com. Para obtener más información, consulta "Acceso a un aviso en la base de datos de avisos de GitHub".

  3. Haz clic en un aviso para ver los detalles.

También puedes sugerir mejoras en cualquier aviso directamente desde la base de datos de avisos local. Para obtener más información, consulta "Edición de asesorías de your GitHub Enterprise Server instance".

Visualización de repositorios vulnerables para your GitHub Enterprise Server instance

Los propietarios de empresa deben habilitar Dependabot alerts para your GitHub Enterprise Server instance antes de poder usar esta característica. Para más información, vea "Habilitación de Dependabot para la empresa".

En la base de datos de avisos local, puedes ver qué repositorios se ven afectados por cada vulnerabilidad de seguridad. Para ver un repositorio vulnerable, debes tener acceso a las Dependabot alerts de este. Para más información, vea "Acerca de Dependabot alerts".

  1. Vaya a https://HOSTNAME/advisories.
  2. Haz clic en una asesoría.
  3. En la parte superior de la página de advertencias, haga clic en Dependabot alerts (Alertas de Dependabot). Alertas de Dependabot
  4. Opcionalmente, para filtrar la lista, utiliza la barra de búsqueda o los menús desplegables. El menú desplegable de "Organización" te permite filtrar las Dependabot alerts por propietario (organización o usuario). Barra de búsqueda y menús desplegables para filtrar alertas
  5. Para más detalles sobre el aviso y consejos sobre cómo corregir el repositorio vulnerable, haz clic en el nombre del repositorio.