Cette version de GitHub Enterprise Server n'est plus disponible depuis le 2024-03-26. Aucune publication de correctifs n’est effectuée, même pour les problèmes de sécurité critiques. Pour de meilleures performances, une sécurité améliorée et de nouvelles fonctionnalités, effectuez une mise à niveau vers la dernière version de GitHub Enterprise. Pour obtenir de l’aide sur la mise à niveau, contactez le support GitHub Enterprise.

Exploration des avis de sécurité dans la base de données GitHub Advisory

Vous pouvez parcourir la GitHub Advisory Database pour rechercher des CVE et des avis provenant de GitHub affectant le monde open source.

Dans cet article

Accès à un avis dans la GitHub Advisory Database

Vous pouvez accéder à un avis dans la GitHub Advisory Database.

  1. Accédez à https://github.com/advisories.

  2. Si vous le souhaitez, pour filtrer la liste des avis, utilisez le champ de recherche ou les menus déroulants situés en haut de la liste.

    Remarque : vous pouvez utiliser la barre latérale de gauche pour explorer séparément les avis révisés par GitHub et les avis non révisés ou les filtrer par écosystème.

  3. Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis révisés par GitHub pour les vulnérabilités de sécurité.

La base de données est également accessible avec l’API GraphQL. Pour plus d’informations, consultez « Événements et charges utiles du webhook ».

Modification d’un avis dans la GitHub Advisory Database

Vous pouvez suggérer des améliorations pour un avis dans la GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

Recherche dans la GitHub Advisory Database

Vous pouvez effectuer une recherche dans la base de données et utiliser des qualificateurs pour l’affiner. Par exemple, vous pouvez rechercher des avis créés à une certaine date, dans un écosystème spécifique ou dans une bibliothèque particulière.

La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour). Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).

Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».

QualificateurExemple
type:reviewedtype:reviewed affiche les avis révisés par GitHub pour les vulnérabilités de sécurité.
type:unreviewedtype:unreviewed affiche les avis non révisés.
GHSA-IDGHSA-49wp-qq6x-g2rf affiche l’avis avec cet ID de la GitHub Advisory Database.
CVE-IDCVE-2020-28482 affiche l’avis avec ce numéro d’ID de CVE.
ecosystem:ECOSYSTEMecosystem:npm affiche uniquement les avis affectant les packages npm.
severity:LEVELseverity:high affiche uniquement les avis avec un niveau de gravité élevé.
affects:LIBRARYaffects:lodash affiche uniquement les avis affectant la bibliothèque lodash.
cwe:IDcwe:352 affiche uniquement les avis portant ce numéro CWE.
credit:USERNAMEcredit:octocat affiche uniquement les avis crédités au compte d’utilisateur « octocat ».
sort:created-ascsort:created-asc trie les avis en montrant d’abord les plus anciens.
sort:created-descsort:created-desc trie les avis en montrant d’abord les plus récents.
sort:updated-ascsort:updated-asc effectue un tri par date de mise à jour la moins récente.
sort:updated-descsort:updated-desc effectue un tri par date de mise à jour la plus récente.
is:withdrawnis:withdrawn affiche uniquement les avis qui ont été retirés.
created:YYYY-MM-DDcreated:2021-01-13 affiche uniquement les avis créés à cette date.
updated:YYYY-MM-DDupdated:2021-01-13 affiche uniquement les avis mis à jour à cette date.

Un qualificateur GHSA-ID est un ID unique que GitHub attribue automatiquement à chaque avis dans la GitHub Advisory Database. Pour plus d’informations sur ces identificateurs, consultez « À propos de la GitHub Advisory Database ».

Affichage de vos dépôts vulnérables

Pour tout avis révisé par GitHub dans la GitHub Advisory Database, vous pouvez voir quels sont vos dépôts affectés par cette vulnérabilité de sécurité. Pour voir un dépôt vulnérable, vous devez avoir accès aux Dependabot alerts pour ce dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

  1. Accédez à https://github.com/advisories.
  2. Cliquez sur un avis.
  3. En haut de la page de l’avis, cliquez sur Alertes Dependabot. Capture d’écran d’un « avis de sécurité global ». Le bouton « Alertes Dependabot » est mis en évidence à l’aide d’un rectangle orange.
  4. Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur).
  5. Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.

Accès à la base de données d’avis locale sur votre instance GitHub Enterprise Server

Si votre administrateur de site a activé GitHub Connect pour votre instance GitHub Enterprise Server, vous pouvez également parcourir les avis révisés localement. Pour plus d’informations, consultez « À propos de GitHub Connect ».

Vous pouvez utiliser votre base de données d’avis locale pour vérifier si une vulnérabilité de sécurité spécifique est incluse, et par conséquent, si vous obtenez des alertes pour les dépendances vulnérables. Vous pouvez également voir tous les dépôts vulnérables.

  1. Accédez à https://HOSTNAME/advisories.

  2. Si vous le souhaitez, pour filtrer la liste, utilisez l’un des menus déroulants.

    Remarque : Seuls les avis révisés seront listés. Les avis non révisés peuvent être consultés dans la GitHub Advisory Database sur GitHub.com. Pour plus d’informations, consultez « Accès à un avis dans la base de données d’avis GitHub ».

  3. Cliquez sur un avis pour en voir les détails.

Vous pouvez également suggérer des améliorations pour tout avis directement de votre base de données d’avis locale. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

Affichage des référentiel vulnérables pour votre instance GitHub Enterprise Server

Les propriétaires d’entreprise doivent activer les Dependabot alerts pour votre instance GitHub Enterprise Server pour que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».

Dans la base de données d’avis locale, vous pouvez voir quels dépôts sont affectés par chaque vulnérabilité de sécurité. Pour voir un dépôt vulnérable, vous devez avoir accès aux Dependabot alerts pour ce dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

  1. Accédez à https://HOSTNAME/advisories.
  2. Cliquez sur un avis.
  3. En haut de la page de l’avis, cliquez sur Alertes Dependabot. Capture d’écran d’un « avis de sécurité global ». Le bouton « Alertes Dependabot » est mis en évidence à l’aide d’un rectangle orange.
  4. Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur).
  5. Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.