Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Buscar vulnerabilidades de seguridad en la Base de Datos de Asesorías de GitHub

La GitHub Advisory Database te permite buscar vulnerabilidades que afecten proyectos de código abierto, ya sea manualmente o por coincidencia exacta, en GitHub.

En este artículo

Acerca de GitHub Advisory Database

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código.La GitHub Advisory Databasecontiene una lista selecta de las vulnerabilidades de seguridad que se han mapeado en todos los paquetes rastreados por la gráfica de dependencia de la GitHub. Cada listado de asesoría incluye información tal como el repositorio que se ha afectado, así como las versiones vulnerables y parchadas. También se puede acceder a la base de datos utilizando la API de GraphQL. For more information, see the "security_advisory webhook event."

Utilizamos las siguientes fuentes para agregar vulnerabilidades a la GitHub Advisory Database:

  • La National Vulnerability Database
  • Una combinación de aprendizaje automático y revisión humana para detectar vulnerabilidades en confirmaciones públicas en GitHub
  • Asesorías de seguridad en GitHub
  • FriendsOfPHP

GitHub te enviará una alerta de seguridad si detectamos que alguna de las vulnerabilidades listadas en la GitHub Advisory Database está afectando tu repositorio. For more information, see "About alerts for vulnerable dependencies."

Las asesorías de la lista de la National Vulnerability Database contendrán un enlace al registro de CVE en donde podrás leer más detalles sobre dicha vulnerabilidad, sus récords de CVSS y su nivel de gravedad cualitativa. Para obtener más información, consulta la "National Vulnerability Database" del Instituto Nacional de Estándares y Tecnología.

El nivel de gravedad es uno de cuatro niveles posibles definidos en el Sistema de clasificación de vulnerabilidades comunes (CVSS), Sección 2.12:

  • Bajo
  • Moderado
  • Alto
  • Crítico

También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.

Acceder a una asesoría en la GitHub Advisory Database

  1. Navega hasta https://github.com/advisories.
  2. De manera opcional, para filtrar la lista, utiliza cualquiera de los menús desplegables.
    Filtros desplegables
  3. Da clic en cualquier asesoría para ver los detalles.

Buscar en la GitHub Advisory Database por coincidencia exacta

Puedes buscar coincidencias exactas en la base de datos y utilizar calificadores para reducir tu búsqueda y encontrar asesorías que se crearon en cierta fecha, en un ecosistema específico o en una biblioteca en particular.

El formato de fecha debe seguir el estándar ISO8601, el cual es YYYY-MM-DD (año-mes-día). También puedes agregar información de tiempo ocpional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Se hace agregando T, seguido de HH:MM:SS (hora-minutos-segundos), y un intervalo de UTC (+00:00).

Las fechas son compatibles con calificadores de mayor qué, menor qué y rango.

CalificadorEjemplo
ecosystem:ECOSYSTEMecosystem:npm mostrará únicamente asesorías que afecten paquetes NPM.
severity:LEVELseverity:high mostrará únicamente asesorías con nivel de gravedad alto.
affects:LIBRARYaffects:lodash mostrará únicamente asesorías que afecten la biblioteca lodash.
sort:created-ascsort:created-asc organizará los resultados para mostrar las asesorías más viejas primero.
sort:created-descsort:created-desc organizará los resultados para mostrar las asesorías más nuevas primero.
sort:updated-ascsort:updated-asc organizará los resultados para mostrar aquellos actualizados menos recientemente.
sort:updated-descsort:updated-desc organizará los resultados para mostrar los aquellos actualizados más recientemente.
is:withdrawnis:withdrawn mostrará únicamente las asesorías que se han retirado.
created:YYYY-MM-DDcreated:2019-10-31 mostrará únicamente las asesorías creadas en esta fecha.
updated:YYYY-MM-DDupdated:2019-10-31 mostrará únicamente asesorías actualizadas en esta fecha.

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos