Skip to main content
ドキュメントへの更新が頻繁に発行されており、このページの翻訳はまだ行われている場合があります。 最新の情報については、「英語のドキュメント」を参照してください。
All products
コードセキュリティ

GitHub Advisory Database でのセキュリティ アドバイザリの参照

この記事の内容

GitHub Advisory Database を参照して、GitHub でホストされているオープンソース プロジェクトのセキュリティ リスクに関するアドバイザリを見つけることができます。

GitHub Advisory Database のアドバイザリにアクセスする

GitHub Advisory Database の任意のアドバイザリにアクセスできます。

  1. https://github.com/advisories に移動します。

  2. 必要に応じて、アドバイザリの一覧をフィルター処理するには、一覧の上にある検索フィールドまたはドロップダウン メニューを使います。

    ヒント: 左側のサイドバーを使って、GitHub でレビューされたアドバイザリとレビューされていないアドバイザリを個別に調べたり、エコシステムでフィルター処理したりできます。

  3. アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。 マルウェアのアドバイザリを表示するには、検索バーで type:malware を使用します。

データベースは、GraphQL API を使用してアクセスすることもできます。 クエリの既定では、type:malware を指定しない限り、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが返されます。詳しくは「Webhook events and payloads」を参照してください。

GitHub Advisory Database のアドバイザリを編集する

GitHub Advisory Database のアドバイザリに対する改善を提案することができます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリを検索できます。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」を参照してください。

修飾子
type:reviewedtype:reviewed を使用すると、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。
type:malwaretype:malware を使用すると、マルウェアに関する GitHub でレビューされたアドバイザリが表示されます。
type:unreviewedtype:unreviewed を使用すると、レビューされていないアドバイザリが表示されます。
GHSA-IDGHSA-49wp-qq6x-g2rf を使用すると、この GitHub Advisory Database ID のアドバイザリが表示されます。
CVE-IDCVE-2020-28482 を使用すると、この CVE ID 番号のアドバイザリが表示されます。
ecosystem:ECOSYSTEMecosystem:npm を使用すると、NPM パッケージに影響を与えるアドバイザリのみが表示されます。
severity:LEVELseverity:high を使用すると、重要度レベルが高いアドバイザリのみが表示されます。
affects:LIBRARYaffects:lodash を使用すると、lodash ライブラリに影響を与えるアドバイザリのみが表示されます。
cwe:IDcwe:352 を使用すると、この CWE 番号のアドバイザリのみが表示されます。
credit:USERNAMEcredit:octocat を使用すると、"octocat" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。
sort:created-ascsort:created-asc を使用すると、最も古いアドバイザリから順に並べ替えられます。
sort:created-descsort:created-desc を使用すると、最も新しいアドバイザリから順に並べ替えられます。
sort:updated-ascsort:updated-asc を使用すると、更新時期が最も古いものから順に並べ替えられます。
sort:updated-descsort:updated-desc を使用すると、更新時期が最も新しいものから順に並べ替えられます。
is:withdrawnis:withdrawn を使用すると、取り消されたアドバイザリのみが表示されます。
created:YYYY-MM-DDcreated:2021-01-13 を使用すると、この日付に作成されたアドバイザリのみが表示されます。
updated:YYYY-MM-DDupdated:2021-01-13 を使用すると、この日付に更新されたアドバイザリのみが表示されます。

脆弱性のあるリポジトリを表示する

GitHub Advisory Database 内の GitHub でレビューされたアドバイザリについては、そのセキュリティ脆弱性またはマルウェアによって影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳しくは、「Dependabot アラートについて」を参照してください。

  1. https://github.com/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 "グローバル セキュリティ アドバイザリ" のスクリーンショット。 [Dependabot アラート] ボタンがオレンジ色のアウトラインで強調されています。
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。