Skip to main content

Exploration des avis de sécurité dans la base de données GitHub Advisory

Vous pouvez parcourir la GitHub Advisory Database pour rechercher des CVE et des avis provenant de GitHub affectant le monde open source.

Accès à un avis dans la GitHub Advisory Database

Vous pouvez accéder à un avis dans la GitHub Advisory Database.

  1. Accédez à https://github.com/advisories.

  2. Si vous le souhaitez, pour filtrer la liste des avis, utilisez le champ de recherche ou les menus déroulants situés en haut de la liste.

    Remarque : vous pouvez utiliser la barre latérale de gauche pour explorer séparément les avis révisés par GitHub et les avis non révisés ou les filtrer par écosystème.

  3. Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis révisés par GitHub pour les vulnérabilités de sécurité. Pour afficher les avis sur les programmes malveillants, utilisez type:malware dans la barre de recherche.

La base de données est également accessible avec l’API GraphQL. Par défaut, les requêtes retournent les avis révisés par GitHub pour les vulnérabilités de sécurité sauf si vous spécifiez type:malware. Pour plus d’informations, consultez « Événements et charges utiles du webhook ».

En outre, vous pouvez accéder à GitHub Advisory Database à l’aide de l’API REST. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les avis de sécurité globaux ».

Modification d’un avis dans la GitHub Advisory Database

Vous pouvez suggérer des améliorations pour un avis dans la GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

Recherche dans la GitHub Advisory Database

Vous pouvez effectuer une recherche dans la base de données et utiliser des qualificateurs pour l’affiner. Par exemple, vous pouvez rechercher des avis créés à une certaine date, dans un écosystème spécifique ou dans une bibliothèque particulière.

La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour). Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).

Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».

QualificateurExemple
type:reviewedtype:reviewed affiche les avis révisés par GitHub pour les vulnérabilités de sécurité.
type:malwaretype:malware affiche les avis sur les programmes malveillants.
type:unreviewedtype:unreviewed affiche les avis non révisés.
GHSA-IDGHSA-49wp-qq6x-g2rf affiche l’avis avec cet ID de la GitHub Advisory Database.
CVE-IDCVE-2020-28482 affiche l’avis avec ce numéro d’ID de CVE.
ecosystem:ECOSYSTEMecosystem:npm affiche uniquement les avis affectant les packages npm.
severity:LEVELseverity:high affiche uniquement les avis avec un niveau de gravité élevé.
affects:LIBRARYaffects:lodash affiche uniquement les avis affectant la bibliothèque lodash.
cwe:IDcwe:352 affiche uniquement les avis portant ce numéro CWE.
credit:USERNAMEcredit:octocat affiche uniquement les avis crédités au compte d’utilisateur « octocat ».
sort:created-ascsort:created-asc trie les avis en montrant d’abord les plus anciens.
sort:created-descsort:created-desc trie les avis en montrant d’abord les plus récents.
sort:updated-ascsort:updated-asc effectue un tri par date de mise à jour la moins récente.
sort:updated-descsort:updated-desc effectue un tri par date de mise à jour la plus récente.
is:withdrawnis:withdrawn affiche uniquement les avis qui ont été retirés.
created:YYYY-MM-DDcreated:2021-01-13 affiche uniquement les avis créés à cette date.
updated:YYYY-MM-DDupdated:2021-01-13 affiche uniquement les avis mis à jour à cette date.

Un qualificateur GHSA-ID est un ID unique que GitHub attribue automatiquement à chaque avis dans la GitHub Advisory Database. Pour plus d’informations sur ces identificateurs, consultez « À propos de la GitHub Advisory Database ».

Affichage de vos dépôts vulnérables

Pour tout avis révisé par GitHub dans la GitHub Advisory Database, vous pouvez voir quels sont vos dépôts affectés par cette vulnérabilité de sécurité ou ce programme malveillant. Pour voir un dépôt vulnérable, vous devez avoir accès aux Dependabot alerts pour ce dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

  1. Accédez à https://github.com/advisories.
  2. Cliquez sur un avis.
  3. En haut de la page de l’avis, cliquez sur Alertes Dependabot.
    Capture d’écran d’un « avis de sécurité global ». Le bouton « Alertes Dependabot » est mis en évidence à l’aide d’un rectangle orange.
  4. Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur).
  5. Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.

Accès à la base de données d’avertissement locale sur GitHub Enterprise Server

Si votre administrateur de site a activé GitHub Connect pour votre instance, vous pouvez également consulter les avis révisés localement. Pour plus d’informations, consultez « À propos de GitHub Connect ».

Vous pouvez utiliser votre base de données d’avis locale pour vérifier si une vulnérabilité de sécurité spécifique est incluse, et par conséquent, si vous obtenez des alertes pour les dépendances vulnérables. Vous pouvez également voir tous les dépôts vulnérables.

  1. Accédez à https://HOSTNAME/advisories.

  2. Si vous le souhaitez, pour filtrer la liste, utilisez l’un des menus déroulants.

    Remarque : Seuls les avis révisés seront listés. Les avis non révisés peuvent être consultés dans la GitHub Advisory Database sur GitHub.com. Pour plus d’informations, consultez « Accès à un avis dans la base de données d’avis GitHub ».

  3. Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis révisés par GitHub pour les vulnérabilités de sécurité. Pour afficher les avis sur les programmes malveillants, utilisez type:malware dans la barre de recherche.

Vous pouvez également suggérer des améliorations pour tout avis directement de votre base de données d’avis locale. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

Affichage des référentiels vulnérables pour votre instance

Les propriétaires d’entreprise doivent activer les Dependabot alerts pour votre instance GitHub Enterprise Server pour que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Dans la base de données d’avis locale, vous pouvez voir quels référentiels sont affectés par chaque faille de sécurité ou de programme malveillant. Pour voir un dépôt vulnérable, vous devez avoir accès aux Dependabot alerts pour ce dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

  1. Accédez à https://HOSTNAME/advisories.
  2. Cliquez sur un avis.
  3. En haut de la page de l’avis, cliquez sur Alertes Dependabot.
    Capture d’écran d’un « avis de sécurité global ». Le bouton « Alertes Dependabot » est mis en évidence à l’aide d’un rectangle orange.
  4. Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur).
  5. Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.