Skip to main content

GitHub Advisory Database でのセキュリティ アドバイザリの参照

GitHub Advisory Database を参照して、オープンソースの世界に影響を与える CVE と GitHub で生成されたアドバイザリを見つけることができます。

GitHub Advisory Database のアドバイザリにアクセスする

GitHub Advisory Database の任意のアドバイザリにアクセスできます。

  1. https://github.com/advisories に移動します。

  2. 必要に応じて、アドバイザリの一覧をフィルター処理するには、一覧の上にある検索フィールドまたはドロップダウン メニューを使います。

    注: 左側のサイド バーを使って、GitHub でレビューされたアドバイザリとレビューされていないアドバイザリを個別に調べたり、エコシステムでフィルター処理したりできます。

  3. アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。 マルウェアのアドバイザリを表示するには、検索バーで type:malware を使用します。

データベースは、GraphQL API を使用してアクセスすることもできます。 クエリの既定では、type:malware を指定しない限り、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが返されます。詳しくは「Webhook のイベントとペイロード」を参照してください。

さらに、REST API を使って GitHub Advisory Database にアクセスすることもできます。 詳細については、REST API ドキュメントの「グローバル セキュリティ アドバイザリ」を参照してください。

GitHub Advisory Database のアドバイザリを編集する

GitHub Advisory Database のアドバイザリに対する改善を提案することができます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリを検索できます。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」を参照してください。

修飾子
type:reviewedtype:reviewed を使用すると、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。
type:malwaretype:malware はマルウェア アドバイザリを表示します。
type:unreviewedtype:unreviewed を使用すると、レビューされていないアドバイザリが表示されます。
GHSA-IDGHSA-49wp-qq6x-g2rf を使用すると、この GitHub Advisory Database ID のアドバイザリが表示されます。
CVE-IDCVE-2020-28482 を使用すると、この CVE ID 番号のアドバイザリが表示されます。
ecosystem:ECOSYSTEMecosystem:npm を使うと、npm パッケージに影響を与えるアドバイザリのみが表示されます。
severity:LEVELseverity:high を使用すると、重要度レベルが高いアドバイザリのみが表示されます。
affects:LIBRARYaffects:lodash を使用すると、lodash ライブラリに影響を与えるアドバイザリのみが表示されます。
cwe:IDcwe:352 を使用すると、この CWE 番号のアドバイザリのみが表示されます。
credit:USERNAMEcredit:octocat を使用すると、"octocat" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。
sort:created-ascsort:created-asc を使用すると、最も古いアドバイザリから順に並べ替えられます。
sort:created-descsort:created-desc を使用すると、最も新しいアドバイザリから順に並べ替えられます。
sort:updated-ascsort:updated-asc を使用すると、更新時期が最も古いものから順に並べ替えられます。
sort:updated-descsort:updated-desc を使用すると、更新時期が最も新しいものから順に並べ替えられます。
is:withdrawnis:withdrawn を使用すると、取り消されたアドバイザリのみが表示されます。
created:YYYY-MM-DDcreated:2021-01-13 を使用すると、この日付に作成されたアドバイザリのみが表示されます。
updated:YYYY-MM-DDupdated:2021-01-13 を使用すると、この日付に更新されたアドバイザリのみが表示されます。

GHSA-ID 修飾子は、GitHub Advisory Database のあらゆるアドバイザリに GitHub から自動的に割り当てられる一意の ID です。 この ID について詳しくは、「GitHub Advisory Database について」をご覧ください。

脆弱性のあるリポジトリを表示する

GitHub Advisory Database 内の GitHub でレビューされたアドバイザリについては、そのセキュリティ脆弱性またはマルウェアによって影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳しくは、「Dependabot アラートについて」を参照してください。

  1. https://github.com/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 "グローバル セキュリティ アドバイザリ" のスクリーンショット。 [Dependabot アラート] ボタンがオレンジ色のアウトラインで強調されています。
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。