Skip to main content

GitHub Advisory Database でのセキュリティ アドバイザリの参照

GitHub Advisory Database を参照して、オープンソースの世界に影響を与える CVE と GitHub で生成されたアドバイザリを見つけることができます。

GitHub Advisory Database のアドバイザリにアクセスする

GitHub Advisory Database の任意のアドバイザリにアクセスできます。

  1. https://github.com/advisories に移動します。

  2. 必要に応じて、アドバイザリの一覧をフィルター処理するには、一覧の上にある検索フィールドまたはドロップダウン メニューを使います。

    注: 左側のサイド バーを使って、GitHub でレビューされたアドバイザリとレビューされていないアドバイザリを個別に調べたり、エコシステムでフィルター処理したりできます。

  3. アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。 マルウェアのアドバイザリを表示するには、検索バーで type:malware を使用します。

データベースは、GraphQL API を使用してアクセスすることもできます。 クエリの既定では、type:malware を指定しない限り、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが返されます。詳しくは「Webhook のイベントとペイロード」を参照してください。

GitHub Advisory Database のアドバイザリを編集する

GitHub Advisory Database のアドバイザリに対する改善を提案することができます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリを検索できます。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」を参照してください。

修飾子
type:reviewedtype:reviewed を使用すると、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。
type:malwaretype:malware はマルウェア アドバイザリを表示します。
type:unreviewedtype:unreviewed を使用すると、レビューされていないアドバイザリが表示されます。
GHSA-IDGHSA-49wp-qq6x-g2rf を使用すると、この GitHub Advisory Database ID のアドバイザリが表示されます。
CVE-IDCVE-2020-28482 を使用すると、この CVE ID 番号のアドバイザリが表示されます。
ecosystem:ECOSYSTEMecosystem:npm を使うと、npm パッケージに影響を与えるアドバイザリのみが表示されます。
severity:LEVELseverity:high を使用すると、重要度レベルが高いアドバイザリのみが表示されます。
affects:LIBRARYaffects:lodash を使用すると、lodash ライブラリに影響を与えるアドバイザリのみが表示されます。
cwe:IDcwe:352 を使用すると、この CWE 番号のアドバイザリのみが表示されます。
credit:USERNAMEcredit:octocat を使用すると、"octocat" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。
sort:created-ascsort:created-asc を使用すると、最も古いアドバイザリから順に並べ替えられます。
sort:created-descsort:created-desc を使用すると、最も新しいアドバイザリから順に並べ替えられます。
sort:updated-ascsort:updated-asc を使用すると、更新時期が最も古いものから順に並べ替えられます。
sort:updated-descsort:updated-desc を使用すると、更新時期が最も新しいものから順に並べ替えられます。
is:withdrawnis:withdrawn を使用すると、取り消されたアドバイザリのみが表示されます。
created:YYYY-MM-DDcreated:2021-01-13 を使用すると、この日付に作成されたアドバイザリのみが表示されます。
updated:YYYY-MM-DDupdated:2021-01-13 を使用すると、この日付に更新されたアドバイザリのみが表示されます。

GHSA-ID 修飾子は、GitHub Advisory Database のあらゆるアドバイザリに GitHub から自動的に割り当てられる一意の ID です。 この ID について詳しくは、「GitHub Advisory Database について」をご覧ください。

脆弱性のあるリポジトリを表示する

GitHub Advisory Database 内の GitHub でレビューされたアドバイザリについては、そのセキュリティ脆弱性またはマルウェアによって影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳しくは、「Dependabot アラートについて」を参照してください。

  1. https://github.com/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 "グローバル セキュリティ アドバイザリ" のスクリーンショット。 [Dependabot アラート] ボタンがオレンジ色のアウトラインで強調されています。
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。

お使いの GitHub Enterprise Server インスタンス

のローカル アドバイザリ データベースへのアクセス

サイト管理者が お使いの GitHub Enterprise Server インスタンス に対して GitHub Connect を有効にしている場合は、レビューされたアドバイザリをローカルで参照することもできます。 詳細については、「GitHub Connect について」を参照してください。

特定のセキュリティの脆弱性が含まれており、それによって、脆弱な依存関係に関するアラートを受け取るかどうかを、ローカル アドバイザリ データベースを使用して確認できます。 脆弱なリポジトリを表示することもできます。

  1. https://HOSTNAME/advisories に移動します。

  2. 必要に応じて、リストをフィルタするには、ドロップダウンメニューを使用します。

    注: レビューされたアドバイザリのみが一覧表示されます。 レビューされていないアドバイザリは、GitHub.com の GitHub Advisory Database で表示できます。 詳しくは、「GitHub Advisory Database のアドバイザリにアクセスする」を参照してください。

  3. アドバイザリをクリックして詳細を表示します。既定では、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。 マルウェア アドバイザリを表示するには、検索バーで type:malware を使用します。

ローカル アドバイザリ データベースから直接、任意のアドバイザリの改善を提案することもできます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」をご覧ください。

お使いの GitHub Enterprise Server インスタンス

の脆弱なリポジトリの表示

この機能を使うには、Enterprise 所有者が お使いの GitHub Enterprise Server インスタンス の Dependabot alerts を有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」を参照してください。

ローカル アドバイザリ データベースでは、各セキュリティ脆弱性 またはマルウェアの影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳しくは、「Dependabot アラートについて」を参照してください。

  1. https://HOSTNAME/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 "グローバル セキュリティ アドバイザリ" のスクリーンショット。 [Dependabot アラート] ボタンがオレンジ色のアウトラインで強調されています。
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。