Skip to main content
ドキュメントへの更新が� �繁に発行されており、このページの翻訳はま� 行われている� �合があります。最新情� �については、英語版のドキュメントをご覧く� さい。
� 

� 

このバージョンの GitHub Enterprise はこの日付をもって終了となりました: 2023-01-18. 重大なセキュリティの問題に対してであっても、パッチリリースは作成されません。 パフォーマンスの向上、セキュリティの向上、新機能の向上を図るために、最新バージョンの GitHub Enterprise にアップグレードします。 アップグレードに関するヘルプについては、GitHub Enterprise サポートにお問い合わせく� さい

GitHub Advisory Database でのセキュリティ アドバイザリの参照

この記事では、次の� �目が扱われます。

GitHub Advisory Database を参照して、GitHub でホストされているオープンソース プロジェクトのセキュリティ リスクに関するアドバイザリを見つけることができます。

GitHub Advisory Database のアドバイザリにアクセスする

GitHub Advisory Database の任意のアドバイザリにアクセスできます。

  1. https://github.com/advisories に移動します。

  2. 必要に応じて、リストをフィルタするには、ドロップダウンメニューを使用します。 ドロップダウン フィルター

    ヒント: 左側のサイドバーを使用して、GitHub でレビューされたアドバイザリとレビューされていないアドバイザリを個別に調べることができます。

  3. アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。

データベースは、GraphQL API を使用してアクセスすることもできます。 詳しくは、security_advisory Webhook イベントに関する記事を参照してく� さい。

GitHub Advisory Database のアドバイザリを編集する

GitHub Advisory Database のアドバイザリに対する改善を提案することができます。 詳細については、「GitHub Advisory Database のセキュリティ アドバイザリの編集」を参照してく� さい。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステ� 、または特定のライブラリで作成されたアドバイザリを検索できます。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情� � THH:MM:SS+00:00 を追� して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う� �合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してく� さい。

修飾子
type:reviewedtype:reviewed を使用すると、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。
type:unreviewedtype:unreviewed を使用すると、レビューされていないアドバイザリが表示されます。
GHSA-IDGHSA-49wp-qq6x-g2rf を使用すると、この GitHub Advisory Database ID のアドバイザリが表示されます。
CVE-IDCVE-2020-28482 を使用すると、この CVE ID 番号のアドバイザリが表示されます。
ecosystem:ECOSYSTEMecosystem:npm を使用すると、NPM パッケージに影響を与えるアドバイザリのみが表示されます。
severity:LEVELseverity:high を使用すると、重要度レベルが高いアドバイザリのみが表示されます。
affects:LIBRARYaffects:lodash を使用すると、lodash ライブラリに影響を与えるアドバイザリのみが表示されます。
cwe:IDcwe:352 を使用すると、この CWE 番号のアドバイザリのみが表示されます。
credit:USERNAMEcredit:octocat を使用すると、"octocat" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。
sort:created-ascsort:created-asc を使用すると、最も古いアドバイザリから� �に並べ替えられます。
sort:created-descsort:created-desc を使用すると、最も新しいアドバイザリから� �に並べ替えられます。
sort:updated-ascsort:updated-asc を使用すると、更新時期が最も古いものから� �に並べ替えられます。
sort:updated-descsort:updated-desc を使用すると、更新時期が最も新しいものから� �に並べ替えられます。
is:withdrawnis:withdrawn を使用すると、取り消されたアドバイザリのみが表示されます。
created:YYYY-MM-DDcreated:2021-01-13 を使用すると、この日付に作成されたアドバイザリのみが表示されます。
updated:YYYY-MM-DDupdated:2021-01-13 を使用すると、この日付に更新されたアドバイザリのみが表示されます。

脆弱性のあるリポジトリを表示する

GitHub Advisory Database 内の GitHub でレビューされたアドバイザリについては、そのセキュリティ脆弱性によって影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳細については、「Dependabot alertsについて」を参照してく� さい。

  1. https://github.com/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 Dependabot アラート
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。 アラートをフィルター処理するための検索バーとドロップダウン メニュー
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてく� さい。