À propos des avis de sécurité globaux

Les conseils sécurité globale résident dans le GitHub Advisory Database, une collection de CVE et d’avis GitHub affectant le monde open source. Vous pouvez contribuer à améliorer les avis de sécurité globaux.

À propos des avis de sécurité globaux

Il existe deux types d’avis : les avis de sécurité globaux et les avis de sécurité des référentiels. Pour plus d’informations sur les avis de sécurité, consultez « À propos des avis de sécurité des référentiels ».

Les avis de sécurité globale sont regroupés dans les catégories suivantes : avis révisés par GitHub, avis non révisés et avis sur les programmes malveillants.

  • Les avis révisés par GitHub sont des vulnérabilités de sécurité qui ont été mappés à des packages dans les écosystèmes que nous prenons en charge. Nous examinons attentivement tous les avis pour en vérifier la validité et nous assurons qu’ils disposent d’une description complète, et contiennent des informations à la fois sur l’écosystème et les packages.
  • Les avertissements non révisés sont des failles de sécurité que nous publions automatiquement dans la GitHub Advisory Database, directement à partir du flux de la National Vulnerability Database.
  • Les avis sur les programmes malveillants concernent les vulnérabilités causées par des programmes malveillants et sont des avis de sécurité que GitHub publie automatiquement dans GitHub Advisory Database, directement à partir d'informations fournies par l'équipe de sécurité de npm. Les avis sur les programmes malveillants sont exclusifs à l’écosystème npm. GitHub ne modifie pas et n'accepte pas les contributions de la communauté à ces avis.

Note

Dependabot ne génère pas Dependabot alerts pour les avis non révisés et les avis sur les programmes malveillants.

Pour plus d’informations sur la GitHub Advisory Database, consultez À propos de la base de données GitHub Advisory.

Les avis de sécurité dans la GitHub Advisory Database à l’adresse github.com/advisories sont considérés comme des avis globaux. Tout le monde peut suggérer des améliorations sur n’importe quel avis de sécurité global dans la GitHub Advisory Database. Vous pouvez modifier ou ajouter les détails de votre choix, notamment les écosystèmes nouvellement affectés, le niveau de gravité ou la description des personnes affectées. L’équipe de curation de GitHub Security Lab examine les améliorations soumises et les publie dans la GitHub Advisory Database si elles sont acceptées.

Chaque avis de référentiel est examiné par l’équipe de curation GitHub Security Lab afin d’être pris en compte comme un avis global. Nous publions des avis de sécurité pour tous les écosystèmes pris en charge par le graphe de dépendances dans la GitHub Advisory Database sur github.com/advisories.

Vous pouvez accéder à un avis dans la GitHub Advisory Database. Pour plus d’informations, consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».

Vous pouvez suggérer des améliorations pour un avis dans la GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».