Skip to main content
We publish frequent updates to our documentation, and translation of this page may still be in progress. For the most current information, please visit the English documentation.

Exploration des avis de sécurité dans la base de données GitHub Advisory

Vous pouvez parcourir la GitHub Advisory Database pour rechercher des avis sur les risques de sécurité dans les projets open source hébergés sur GitHub.

Accès à un avis dans la GitHub Advisory Database

Vous pouvez accéder à un avis dans la GitHub Advisory Database.

  1. Accédez à https://github.com/advisories.

  2. Si vous le souhaitez, pour filtrer la liste, utilisez l’un des menus déroulants. Filtres déroulants

    Conseil : Vous pouvez utiliser la barre latérale de gauche pour explorer séparément les avis révisés par GitHub et les avis non révisés.

  3. Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis révisés par GitHub pour les vulnérabilités de sécurité. Pour afficher les avis sur les programmes malveillants, utilisez type:malware dans la barre de recherche.

La base de données est également accessible avec l’API GraphQL. Par défaut, les requêtes retournent les avis révisés par GitHub pour les vulnérabilités de sécurité, sauf si vous spécifiez type:malware. Pour plus d’informations, consultez « l’événement webhook security_advisory ».

Modification d’un avis dans la GitHub Advisory Database

Vous pouvez suggérer des améliorations pour un avis dans la GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la GitHub Advisory Database ».

Recherche dans la GitHub Advisory Database

Vous pouvez effectuer une recherche dans la base de données et utiliser des qualificateurs pour l’affiner. Par exemple, vous pouvez rechercher des avis créés à une certaine date, dans un écosystème spécifique ou dans une bibliothèque particulière.

La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour). Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).

Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».

QualificateurExemple
type:reviewedtype:reviewed affiche les avis révisés par GitHub pour les vulnérabilités de sécurité.
type:malwaretype:malware affiche les avis révisés par GitHub pour les programmes malveillants.
type:unreviewedtype:unreviewed affiche les avis non révisés.
GHSA-IDGHSA-49wp-qq6x-g2rf affiche l’avis avec cet ID de la GitHub Advisory Database.
CVE-IDCVE-2020-28482 affiche l’avis avec ce numéro d’ID de CVE.
ecosystem:ECOSYSTEMecosystem:npm affiche uniquement les avis affectant les packages NPM.
severity:LEVELseverity:high affiche uniquement les avis avec un niveau de gravité élevé.
affects:LIBRARYaffects:lodash affiche uniquement les avis affectant la bibliothèque lodash.
cwe:IDcwe:352 affiche uniquement les avis portant ce numéro CWE.
credit:USERNAMEcredit:octocat affiche uniquement les avis crédités au compte d’utilisateur « octocat ».
sort:created-ascsort:created-asc trie les avis en montrant d’abord les plus anciens.
sort:created-descsort:created-desc trie les avis en montrant d’abord les plus récents.
sort:updated-ascsort:updated-asc effectue un tri par date de mise à jour la moins récente.
sort:updated-descsort:updated-desc effectue un tri par date de mise à jour la plus récente.
is:withdrawnis:withdrawn affiche uniquement les avis qui ont été retirés.
created:YYYY-MM-DDcreated:2021-01-13 affiche uniquement les avis créés à cette date.
updated:YYYY-MM-DDupdated:2021-01-13 affiche uniquement les avis mis à jour à cette date.

Affichage de vos dépôts vulnérables

Pour tout avis révisé par GitHub dans la GitHub Advisory Database, vous pouvez voir quels sont vos dépôts affectés par cette vulnérabilité de sécurité ou ce programme malveillant. Pour voir un dépôt vulnérable, vous devez avoir accès aux Dependabot alerts pour ce dépôt. Pour plus d’informations, consultez « À propos des Dependabot alerts ».

  1. Accédez à https://github.com/advisories.
  2. Cliquez sur un avis.
  3. En haut de la page de l’avis, cliquez sur Alertes Dependabot. Alertes Dependabot
  4. Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur). Barre de recherche et menus déroulants pour filtrer les alertes
  5. Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.