Skip to main content
Nous publions des mises à jour fréquentes de notre documentation, et la traduction de cette page peut encore être en cours. Pour obtenir les informations les plus actuelles, consultez la documentation anglaise.
All products
Sécurité du code

Cette version de GitHub Enterprise a été abandonnée le 2023-03-15. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

À propos de la base de données GitHub Advisory

Dans cet article

La GitHub Advisory Database contient une liste de vulnérabilités de sécurité connus, regroupés en deux catégories : avis révisés par GitHub et avis non révisés.

À propos de la GitHub Advisory Database

Nous ajoutons des conseils à la GitHub Advisory Database à partir des sources suivantes :

Si vous connaissez une autre base de données à partir de laquelle nous devrions importer des avis, dites-le nous en ouvrant un problème dans https://github.com/github/advisory-database.

Les avis de sécurité sont publiés sous forme de fichiers JSON au format OSV (Open Source Vulnerability). Pour plus d’informations sur le format OSV, consultez « Format Open Source Vulnerability ».

À propos des types d’avis de sécurité

Chaque avis dans la GitHub Advisory Database concerne une vulnérabilité dans les projets open source.

Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque. Les vulnérabilités dans le code sont généralement introduites par accident et corrigées peu après leur découverte. Vous devez mettre à jour votre code pour utiliser la version corrigée de la dépendance dès qu’elle est disponible.

Avis révisés par GitHub

Les avis révisés par GitHub sont des vulnérabilités de sécurité qui ont été associés à des packages dans les écosystèmes que nous prenons en charge. Nous examinons attentivement tous les avis pour en vérifier la validité et nous assurons qu’ils disposent d’une description complète, et contiennent des informations à la fois sur l’écosystème et les packages.

En règle générale, nous nommons nos écosystèmes pris en charge d’après le registre de packages associé du langage de programmation logicielle. Nous examinons les avis s’ils concernent une vulnérabilité dans un package provenant d’un registre pris en charge.

Si vous avez une suggestion pour un nouvel écosystème que nous devrions prendre en charge, ouvrez un problème pour en discuter.

Si vous activez les Dependabot alerts pour vos dépôts, vous êtes automatiquement averti quand un nouvel avis révisé par GitHub signale une vulnérabilité pour un package dont vous dépendez. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Avis non révisés

Les avis non révisés sont des vulnérabilités de sécurité que nous publions automatiquement dans la GitHub Advisory Database, directement à partir du flux de la National Vulnerability Database.

Dependabot ne crée pas d’Dependabot alerts pour les avis non révisés, car ce type d’avis n’est pas vérifié du point de vue de la validité ou de l’achèvement.

À propos des informations dans les avis de sécurité

Chaque avis de sécurité contient des informations sur la vulnérabilité qui peuvent inclure la description, la gravité, le package affecté, l’écosystème de package, les versions affectées et les versions corrigées, l’impact ainsi que des informations facultatives telles que les références, les solutions de contournement et les crédits. En outre, les avis de la liste de la National Vulnerability Database contiennent un lien vers l’enregistrement CVE, où vous pouvez lire plus d’informations sur la vulnérabilité, ses scores CVSS et son niveau de gravité qualitative. Pour plus d’informations, consultez la « National Vulnerability Database » du National Institute of Standards and Technology.

Le niveau de gravité est l’un des quatre niveaux possibles définis dans la section 5  du CVSS (Common Vulnerability Scoring System).

  • Faible
  • Moyen/modéré
  • Élevé
  • Critique

La GitHub Advisory Database utilise les niveaux CVSS décrits ci-dessus. Si GitHub obtient un CVE, la GitHub Advisory Database utilise CVSS version 3.1. Si le CVE est importé, la GitHub Advisory Database prend en charge les versions 3.0 et 3.1 de CVSS.

Vous pouvez également rejoindre GitHub Security Lab pour parcourir les rubriques liées à la sécurité et contribuer aux outils et projets de sécurité.

Pour aller plus loin