Frecuentemente publicamos actualizaciones de nuestra documentación. Es posible que la traducción de esta página esté en curso. Para conocer la información más actual, visita la documentación en inglés. Si existe un problema con las traducciones en esta página, por favor infórmanos.

Buscar vulnerabilidades de seguridad en la Base de Datos de Asesorías de GitHub

La GitHub Advisory Database te permite buscar vulnerabilidades que afecten proyectos de código abierto, ya sea manualmente o por coincidencia exacta, en GitHub.

En este artículo

Acerca de las vulnerabilidades de seguridad

Una vulnerabilidad es un problema en el código de un proyecto que se puede aprovechar para dañar la confidencialidad, la integridad o la disponibilidad del proyecto o de otros proyectos que usan su código. Las vulnerabilidades varían en tipo, severidad y método de ataque.

GitHub will send you Alertas del Dependabot de GitHub if we detect that any of the vulnerabilities from the GitHub Advisory Database affect the packages that your repository depends on. Para obtener más información, consulta la sección "Acerca de las alertas para las dependencias vulnerables".

Acerca de GitHub Advisory Database

La GitHub Advisory Database contiene una lista selecta de vulnerabilidades de seguridad que se han mapeado para los paquetes que rastrea la gráfica de dependencias de GitHub. Agregamos vulnerabilidades a la GitHub Advisory Database desde las siguientes fuentes:

  • La National Vulnerability Database
  • Una combinación de aprendizaje automático y revisión humana para detectar vulnerabilidades en confirmaciones públicas en GitHub
  • Asesorías de seguridad que se reportan en GitHub
  • FriendsOfPHP

Each security advisory contains information about the vulnerability, including the description, severity, affected package, package ecosystem, affected versions and patched versions, impact, and optional information such as references, workarounds, and credits. Adicionalmente, las asesorías de la Base de Datos Nacional de Vulnerabilidades contiene un enlace al registro de CVE, en donde puedes leer más sobre los detalles de la vulnerabilidad, su puntuación de CVSS y su nivel de severidad cualitativo. Para obtener más información, consulta la "National Vulnerability Database" del Instituto Nacional de Estándares y Tecnología.

El nivel de gravedad es uno de cuatro niveles posibles definidos en el Sistema de clasificación de vulnerabilidades comunes (CVSS), Sección 2.12:

  • Bajo
  • Moderado
  • Alto
  • Crítico

The GitHub Advisory Database uses CVSS version 3.0 standards and the CVSS levels described above. GitHub doesn't publish CVSS scores.

También puedes unirte a GitHub Security Lab para buscar temas relacionados con seguridad y contribuir con las herramientas y proyectos de seguridad.

Acceder a una asesoría en la GitHub Advisory Database

  1. Navega hasta https://github.com/advisories.
  2. Optionally, to filter the list, use any of the drop-down menus.
    Filtros desplegables
  3. Da clic en cualquier asesoría para ver los detalles.

También se puede acceder a la base de datos utilizando la API de GraphQL. Para obtener más información, consulta la sección "evento de webhook de security_advisory".

Buscar en la GitHub Advisory Database por coincidencia exacta

Puedes buscar coincidencias exactas en la base de datos y utilizar calificadores para reducir tu búsqueda y encontrar asesorías que se crearon en cierta fecha, en un ecosistema específico o en una biblioteca en particular.

El formato de fecha debe seguir el estándar ISO8601, el cual es YYYY-MM-DD (año-mes-día). También puedes agregar información de tiempo ocpional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Se hace agregando T, seguido de HH:MM:SS (hora-minutos-segundos), y un intervalo de UTC (+00:00).

Las fechas son compatibles con calificadores de mayor qué, menor qué y rango.

CalificadorEjemplo
ecosystem:ECOSYSTEMecosystem:npm mostrará únicamente asesorías que afecten paquetes NPM.
severity:LEVELseverity:high mostrará únicamente asesorías con nivel de gravedad alto.
affects:LIBRARYaffects:lodash mostrará únicamente asesorías que afecten la biblioteca lodash.
sort:created-ascsort:created-asc organizará los resultados para mostrar las asesorías más viejas primero.
sort:created-descsort:created-desc organizará los resultados para mostrar las asesorías más nuevas primero.
sort:updated-ascsort:updated-asc organizará los resultados para mostrar aquellos actualizados menos recientemente.
sort:updated-descsort:updated-desc organizará los resultados para mostrar los aquellos actualizados más recientemente.
is:withdrawnis:withdrawn mostrará únicamente las asesorías que se han retirado.
created:YYYY-MM-DDcreated:2019-10-31 mostrará únicamente las asesorías creadas en esta fecha.
updated:YYYY-MM-DDupdated:2019-10-31 mostrará únicamente asesorías actualizadas en esta fecha.

Leer más

Pregunta a una persona

¿No puedes encontrar lo que estás buscando?

Contáctanos