Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Buscar vulnerabilidades de seguridad en la Base de Datos de Asesorías de GitHub

La GitHub Advisory Database te permite buscar vulnerabilidades que afecten proyectos de código abierto, ya sea manualmente o por coincidencia exacta, en GitHub.

En este artículo

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.

Acerca de las vulnerabilidades de seguridad

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.

GitHub will send you Alertas del Dependabot de GitHub if we detect that any of the vulnerabilities from the GitHub Advisory Database affect the packages that your repository depends on. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".

Acerca de GitHub Advisory Database

La GitHub Advisory Database contiene una lista selecta de vulnerabilidades de seguridad que se han mapeado para los paquetes que rastrea la gráfica de dependencias de GitHub. Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:

Cada asesoría de seguridad contiene información acerca de la vulnerabilidad, incluyendo la descripción, severidad, paquete afectado, paquete de ecosistema, versiones afectadas y versiones parchadas, impacto, e información opcional tal como referencias, soluciones alternas, y créditos. Adicionalmente, las asesorías de la Base de Datos Nacional de Vulnerabilidades contiene un enlace al registro de CVE, en donde puedes leer más sobre los detalles de la vulnerabilidad, su puntuación de CVSS y su nivel de severidad cualitativo. Para obtener más información, consulta la "National Vulnerability Database" del Instituto Nacional de Estándares y Tecnología.

El nivel de gravedad es uno de cuatro niveles posibles definidos en el Sistema de clasificación de vulnerabilidades comunes (CVSS), Sección 2.12:

  • Bajo
  • Moderado
  • Alto
  • Crítico

La GitHub Advisory Database utiliza estándares de CVSS versión 3.0 y los niveles de CVSS descritos anteriormente. GitHub no publica los puntajes de CVSS.

También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.

Acceder a una asesoría en la GitHub Advisory Database

  1. Navega hasta https://github.com/advisories.
  2. Opcionalmente, para filtrar la lista, utiliza cualquiera de los menúes desplegables.
    Filtros desplegables
  3. Da clic en cualquier asesoría para ver los detalles.

También se puede acceder a la base de datos utilizando la API de GraphQL. Para obtener más información, consulta la sección "evento de webhook de security_advisory".

Buscar en la GitHub Advisory Database por coincidencia exacta

Puedes buscar coincidencias exactas en la base de datos y utilizar calificadores para reducir tu búsqueda y encontrar asesorías que se crearon en cierta fecha, en un ecosistema específico o en una biblioteca en particular.

El formato de fecha debe seguir el estándar ISO8601, el cual es YYYY-MM-DD (año-mes-día). También puedes agregar información de tiempo ocpional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Se hace agregando T, seguido de HH:MM:SS (hora-minutos-segundos), y un intervalo de UTC (+00:00).

Las fechas son compatibles con calificadores de mayor qué, menor qué y rango.

QualifierEjemplo
ecosystem:ECOSYSTEMecosystem:npm mostrará únicamente asesorías que afecten paquetes NPM.
severity:LEVELseverity:high mostrará únicamente asesorías con nivel de gravedad alto.
affects:LIBRARYaffects:lodash mostrará únicamente asesorías que afecten la biblioteca lodash.
sort:created-ascsort:created-asc organizará los resultados para mostrar las asesorías más viejas primero.
sort:created-descsort:created-desc organizará los resultados para mostrar las asesorías más nuevas primero.
sort:updated-ascsort:updated-asc organizará los resultados para mostrar aquellos actualizados menos recientemente.
sort:updated-descsort:updated-desc organizará los resultados para mostrar los aquellos actualizados más recientemente.
is:withdrawnis:withdrawn mostrará únicamente las asesorías que se han retirado.
created:YYYY-MM-DDcreated:2019-10-31 mostrará únicamente las asesorías creadas en esta fecha.
updated:YYYY-MM-DDupdated:2019-10-31 mostrará únicamente asesorías actualizadas en esta fecha.

Leer más

¿Te ayudó este documento?

Help us make these docs great!

All GitHub docs are open source. See something that's wrong or unclear? Submit a pull request.

Make a contribution

O, learn how to contribute.