GitHub Advisory Database について

アドバイザリは、以下のソースから GitHub Advisory Database に追� されます。

GitHubで� �告されたセキュリティアドバイザリ
National Vulnerability Database
npm セキュリティアドバイザリデータベース
FriendsOfPHP データベース
Go Vulncheck データベース
GitHub Packaging Advisory データベース
Ruby Advisory データベース
RustSec Advisory データベース
コミュニティのコード提供。詳細については、「https://github.com/github/advisory-database/pulls」を参照してく� さい。

アドバイザリのインポート元として他のデータベースに心当たりがある� �合は、https://github.com/github/advisory-database で issue をオープンしてお知らせく� さい。

セキュリティアドバイザリは、オープンソース脆弱性 (OSV) 形式の JSON ファイルとして公開されます。 OSV 形式について詳しくは、オープンソース脆弱性の形式に関する説明を参照してく� さい。

セキュリティアドバイザリの種類について

GitHub Advisory Database の各アドバイザリは、オープンソースプロジェクトを対象としています。

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。脆弱性の種類、重要度、攻撃の方法は様々です。コードの脆弱性は通常、誤って導入され、検出されるとすぐに修正されます。依存関係が使用可能になったらすぐに、修正された依存関係を使用するようにコードを更新する必要があります。

GitHub でレビューされたアドバイザリについて

GitHub でレビューされたアドバイザリは、Microsoft がサポートするエコシステ� 内のパッケージにマップされたセキュリティの脆弱性です。各アドバイザリの有効性を慎重にレビューし、詳しい説明があり、エコシステ� 情� �とパッケージ情� �の両方が含まれていることを確認します。

一般に、サポートされているエコシステ� は、ソフトウェアプログラミング言語の関連するパッケージレジストリにちなんで名前が付けられます。サポートされているレジストリから取得されたパッケージの脆弱性を対象としている� �合は、アドバイザリをレビューします。

Composer (レジストリ: https://packagist.org/)
Go (レジストリ: https://pkg.go.dev/)
Maven (レジストリ: https://repo.maven.apache.org/maven2)
npm (レジストリ: https://www.npmjs.com/)
NuGet (レジストリ: https://www.nuget.org/)
pip (レジストリ: https://pypi.org/)
RubyGems (レジストリ: https://rubygems.org/)
Rust (レジストリ: https://crates.io/)

サポートする必要がある新しいエコシステ� の提案がある� �合は、ディスカッションのために issue を開いてく� さい。

レポジトリに対して Dependabot alerts を有効にすると、GitHub でレビューされた新しいアドバイザリによって、依存するパッケージの脆弱性が� �告された� �合、自動的に通知されます。詳細については、「Dependabot alertsについて」を参照してく� さい。

レビューされていないアドバイザリについて

レビューされていないアドバイザリは、National Vulnerability Database フィードから直接 GitHub Advisory Database に自動的に公開されるセキュリティの脆弱性です。

この種類のアドバイザリは、有効性または完成度について確認されないため、Dependabot では、レビューされていないアドバイザリの Dependabot alerts は作成されません。

セキュリティアドバイザリの情� �について

各セキュリティアドバイザリには、脆弱性に関する情� �が含まれています。このような情� �としては、説明、重要度、影響を受けるパッケージ、パッケージエコシステ� 、影響を受けるバージョンとパッチを適用したバージョン、影響、オプションの情� � (リファレンス、回避策、クレジットなど) などがあります。さらに、National Vulnerability Database リストのアドバイザリには、CVE レコードへのリンクが含まれており、脆弱性、その CVSS スコア、その定性的な重要度レベルの詳細を確認できます。詳細については、アメリカ国立標準技術� �究所の National Vulnerability Databaseを参照してく� さい。

重要度レベルは、"共通脆弱性評価システ� (CVSS) セクション 5" で定義されている 4 つの可能なレベルのいずれかです。

低
Medium/Moderate
高
Critical

GitHub Advisory Database は、上記の CVSS レベルを使用します。 GitHub が CVE を取得した� �合、GitHub Advisory Database は CVSS バージョン 3.1 を使用します。 CVE がインポートされた� �合、GitHub Advisory Database は CVSS バージョン 3.0 と 3.1 の両方をサポートします。

GitHub Security Lab に参� して、セキュリティ関連のトピックを見たり、セキュリティのツールやプロジェクトに貢献したりすることもできます。

参考資料

「About Dependabot alerts」
MITRE の "脆弱性" の定義

GitHub Advisory Database について

この記事では、次の� �目が扱われます。