ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

GitHub Advisory Database のセキュリティ脆弱性を参照する

GitHub Advisory Database を使用すると、GitHub のオープンソースプロジェクトに影響を与える脆弱性を参照または検索できます。

ここには以下の内容があります:

セキュリティの脆弱性について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。 Vulnerabilities vary in type, severity, and method of attack.

GitHub will send you GitHub Dependabotアラート if we detect that any of the vulnerabilities from the GitHub Advisory Database affect the packages that your repository depends on. 詳しい情報については、「脆弱性のある依存関係に対するアラートについて」を参照してください。

GitHub Advisory Database について

GitHub Advisory Database には、GitHub の依存関係グラフによって追跡されるパッケージにマップされたセキュリティの脆弱性のキュレーションされたリストが含まれています。 We add vulnerabilities to the GitHub Advisory Database from the following sources:

  • National Vulnerability Database
  • GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
  • Security advisories reported on GitHub
  • FriendsOfPHP

Each security advisory contains information about the vulnerability, including the description, severity, affected package, package ecosystem, affected versions and patched versions, impact, and optional information such as references, workarounds, and credits. さらに、National Vulnerability Database リストのアドバイザリには、CVE レコードへのリンクが含まれており、脆弱性、その CVSS スコア、その定性的な重要度レベルの詳細を確認できます。 詳しい情報については、アメリカ国立標準技術研究所の「National Vulnerability Database"」を参照してください。

重要度のレベルは Common Vulnerability Scoring System (CVSS), Section 2.1.2 で定義されている 4 つのレベルのいずれかです。

  • Low
  • Moderate
  • High
  • Critical

The GitHub Advisory Database uses CVSS version 3.0 standards and the CVSS levels described above. GitHub doesn't publish CVSS scores.

GitHub Security Labに加わり、セキュリティ関連のトピックをブラウズし、セキュリティのツールやプロジェクトに貢献することもできます。

GitHub Advisory Database のアドバイザリにアクセスする

  1. Https://github.com/advisories にアクセスします。
  2. Optionally, to filter the list, use any of the drop-down menus.
    ドロップダウンフィルタ
  3. アドバイザリをクリックして詳細を表示します。

データベースは、GraphQL API を使用してアクセスすることもできます。 詳しい情報については、「security_advisory webhook イベント」を参照してください。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリに検索を絞り込むことができます。

日付の形式は ISO8601標準に従い、YYYY-MM-DD(年-月-日) とする必要があります。 オプションの時間情報のTHH:MM:SS+00:00を日付の後に付けて、時、分、秒で検索できるようにすることもできます。 これはTの後にHH:MM:SS(時-分-秒)、そしてUTCオフセット(+00:00)を続けたものです。

日付では大なり、小なりおよび範囲指定を使用できます。

修飾子サンプル
ecosystem:ECOSYSTEMecosystem:npm は、NPM パッケージに影響するアドバイザリのみを表示します。
severity:LEVELseverity:high は、重大度レベルが高いアドバイザリのみを表示します。
affects:LIBRARYaffects:lodash は、lodash ライブラリに影響するアドバイザリのみを表示します。
sort:created-ascsort:created-asc は、一番古いアドバイザリを最初にソートします。
sort:created-descsort:created-desc は、一番新しいアドバイザリを最初にソートします。
sort:updated-ascsort:updated-asc は、最近で最も更新されていないものを最初にソートします。
sort:updated-descsort:updated-desc は、最も直近で更新されたものを最初にソートします。
is:withdrawnis:withdrawn は、撤回されたアドバイザリのみを表示します。
created:YYYY-MM-DDcreated:2019-10-31 は、この日に作成されたアドバイザリのみを表示します。
updated:YYYY-MM-DDupdated:2019-10-31 は、この日に更新されたアドバイザリのみを表示します。

参考リンク

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください