Skip to main content

GitHub Advisory Database でのセキュリティ アドバイザリの参照

GitHub Advisory Database を参照して、GitHub でホストされているオープンソース プロジェクトのセキュリティ リスクに関するアドバイザリを見つけることができます。

GitHub Advisory Database のアドバイザリにアクセスする

GitHub Advisory Database の任意のアドバイザリにアクセスできます。

  1. https://github.com/advisories に移動します。

  2. 必要に応じて、リストをフィルタするには、ドロップダウンメニューを使用します。 ドロップダウン フィルター

    ヒント: 左側のサイドバーを使用して、GitHub でレビューされたアドバイザリとレビューされていないアドバイザリを個別に調べることができます。

  3. アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。

データベースは、GraphQL API を使用してアクセスすることもできます。 詳しくは、security_advisory Webhook イベントに関する記事を参照してください。

GitHub Advisory Database のアドバイザリを編集する

GitHub Advisory Database のアドバイザリに対する改善を提案することができます。 詳細については、「GitHub Advisory Database のセキュリティ アドバイザリの編集」を参照してください。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリを検索できます。

日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。 日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。

日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳細については、「Understanding the search syntax」 (検索構文の理解) を参照してください。

修飾子
type:reviewedtype:reviewed を使用すると、セキュリティの脆弱性に関する GitHub でレビューされたアドバイザリが表示されます。
type:unreviewedtype:unreviewed を使用すると、レビューされていないアドバイザリが表示されます。
GHSA-IDGHSA-49wp-qq6x-g2rf を使用すると、この GitHub Advisory Database ID のアドバイザリが表示されます。
CVE-IDCVE-2020-28482 を使用すると、この CVE ID 番号のアドバイザリが表示されます。
ecosystem:ECOSYSTEMecosystem:npm を使用すると、NPM パッケージに影響を与えるアドバイザリのみが表示されます。
severity:LEVELseverity:high を使用すると、重要度レベルが高いアドバイザリのみが表示されます。
affects:LIBRARYaffects:lodash を使用すると、lodash ライブラリに影響を与えるアドバイザリのみが表示されます。
cwe:IDcwe:352 を使用すると、この CWE 番号のアドバイザリのみが表示されます。
credit:USERNAMEcredit:octocat を使用すると、"octocat" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。
sort:created-ascsort:created-asc を使用すると、最も古いアドバイザリから順に並べ替えられます。
sort:created-descsort:created-desc を使用すると、最も新しいアドバイザリから順に並べ替えられます。
sort:updated-ascsort:updated-asc を使用すると、更新時期が最も古いものから順に並べ替えられます。
sort:updated-descsort:updated-desc を使用すると、更新時期が最も新しいものから順に並べ替えられます。
is:withdrawnis:withdrawn を使用すると、取り消されたアドバイザリのみが表示されます。
created:YYYY-MM-DDcreated:2021-01-13 を使用すると、この日付に作成されたアドバイザリのみが表示されます。
updated:YYYY-MM-DDupdated:2021-01-13 を使用すると、この日付に更新されたアドバイザリのみが表示されます。

脆弱性のあるリポジトリを表示する

GitHub Advisory Database 内の GitHub でレビューされたアドバイザリについては、そのセキュリティ脆弱性によって影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳細については、「Dependabot alertsについて」を参照してください。

  1. https://github.com/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 Dependabot アラート
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。 アラートをフィルター処理するための検索バーとドロップダウン メニュー
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。

your GitHub Enterprise Server instance のローカル アドバイザリ データベースへのアクセス

サイト管理者が your GitHub Enterprise Server instance に対して GitHub Connect を有効にしている場合は、レビューされたアドバイザリをローカルで参照することもできます。 詳しい情報については、「GitHub Connect について」を参照してください。

特定のセキュリティの脆弱性が含まれており、それによって、脆弱な依存関係に関するアラートを受け取るかどうかを、ローカル アドバイザリ データベースを使用して確認できます。 脆弱なリポジトリを表示することもできます。

  1. https://HOSTNAME/advisories に移動します。

  2. 必要に応じて、リストをフィルタするには、ドロップダウンメニューを使用します。 ドロップダウン フィルター

    注: レビューされたアドバイザリのみが一覧表示されます。 レビューされていないアドバイザリは、GitHub.com の GitHub Advisory Database で表示できます。 詳しくは、「GitHub Advisory Database のアドバイザリにアクセスする」を参照してください。

  3. アドバイザリをクリックして詳細を表示します。

ローカル アドバイザリ データベースから直接、任意のアドバイザリの改善を提案することもできます。 詳細については、「your GitHub Enterprise Server instance からアドバイザリを編集する」を参照してください。

your GitHub Enterprise Server instance の脆弱なリポジトリの表示

Enterprise owners must enable Dependabot alerts for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Enabling Dependabot for your enterprise."

ローカル アドバイザリ データベースでは、各セキュリティ脆弱性の影響を受けるリポジトリを確認できます。 脆弱性のあるリポジトリを確認するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳細については、「Dependabot alertsについて」を参照してください。

  1. https://HOSTNAME/advisories に移動します。
  2. アドバイザリをクリックします。
  3. アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。 Dependabot アラート
  4. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [Organization] ドロップダウンメニューを使用すると、オーナー(Organization またはユーザ)ごとに Dependabot alerts をフィルタできます。 アラートをフィルター処理するための検索バーとドロップダウン メニュー
  5. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。