Skip to main content

グローバル セキュリティ アドバイザリについて

グローバル セキュリティ アドバイザリは GitHub Advisory Database にあります。これは、オープン ソース界に影響がある CVE と GitHub が発行したセキュリティ アドバイザリのコレクションです。 どなたでもグローバル セキュリティ アドバイザリの改善に貢献できます。

グローバル セキュリティ アドバイザリについて

2 種類のアドバイザリがあります。グローバル セキュリティ アドバイザリとリポジトリ セキュリティ アドバイザリです。 リポジトリ セキュリティ アドバイザリついて詳しくは、「リポジトリ セキュリティ アドバイザリについて」をご覧ください。

グローバル セキュリティ アドバイザリは、次のカテゴリに分類されます。GitHub でレビューされたアドバイザリ、レビューされていないアドバイザリ、そしてマルウェアのアドバイザリです。

  • GitHub でレビューされたアドバイザリは、マイクロソフトがサポートするエコシステム内のパッケージにマップされたセキュリティの脆弱性です。 各アドバイザリの有効性を慎重にレビューし、詳しい説明があり、エコシステム情報とパッケージ情報の両方が含まれていることを確認します。
  • レビューされていないアドバイザリは、National Vulnerability Database フィードから直接 GitHub Advisory Database に自動的に公開されるセキュリティの脆弱性です。
  • マルウェア アドバイザリはマルウェアによって引き起こされる脆弱性に関連しており、GitHub が npm セキュリティ チームから提供された情報から直接 GitHub Advisory Database に自動的に発行されるセキュリティ アドバイザリです。 マルウェア アドバイザリは npm エコシステム専用です。 GitHub では、これらのアドバイザリに関するコミュニティ コントリビューションの編集または受け入れは行われません。

Note

Dependabot では、レビューされていないアドバイザリとマルウェア アドバイザリに対する Dependabot alerts は生成されません。

GitHub Advisory Database について詳しくは、「GitHub Advisory Database について」をご覧ください。

github.com/advisories で、GitHub Advisory Database のセキュリティ アドバイザリは、グローバル アドバイザリと見なされます。 GitHub Advisory Database のグローバル セキュリティ アドバイザリに対する改善は、誰でも提案することができます。 影響を受けるエコシステム、重大度レベル、または影響を受けるユーザーの説明など、任意の詳細を編集または追加できます。 GitHub Security Lab キュレーション チームは、送信された改善を確認し、受け入れられた場合は GitHub Advisory Database にそれらを発行します。

すべてのリポジトリ アドバイザリは、GitHub Security Lab キュレーション チームが確認し、グローバル アドバイザリとして検討されます。 依存関係グラフによってサポートされる任意のエコシステムのセキュリティ アドバイザリを、github.com/advisories の GitHub Advisory Database に公開しています。

GitHub Advisory Database の任意のアドバイザリにアクセスできます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの参照」をご覧ください。

GitHub Advisory Database のアドバイザリに対する改善を提案することができます。 詳しくは、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」をご覧ください。