Skip to main content
설명서에 자주 업데이트를 게시하며 이 페이지의 번역이 계속 진행 중일 수 있습니다. 최신 정보는 영어 설명서를 참조하세요.

GitHub Advisory Database에서 보안 권고 탐색

이 문서의 내용

GitHub에서 호스트되는 오픈 소스 프로젝트에서 보안 위험에 대한 권고를 찾으려면 GitHub Advisory Database를 찾아볼 수 있습니다.

GitHub Advisory Database의 권고에 액세스

GitHub Advisory Database의 권고에 액세스할 수 있습니다.

  1. https://github.com/advisories로 이동합니다.

  2. 필요에 따라 목록을 필터링하려면 드롭다운 메뉴를 사용합니다. 드롭다운 필터

    팁: 왼쪽의 사이드바를 사용하여 GitHub에서 검토한 권고 및 검토하지 않은 권고를 개별적으로 살펴볼 수 있습니다.

  3. 세부 정보를 보려면 권고를 클릭합니다. 기본적으로 GitHub에서 검토한 보안 취약성 권고가 표시됩니다. 맬웨어 권고를 표시하려면 검색 창에서 type:malware를 사용합니다.

또한 GraphQL API를 사용하여 데이터베이스에 액세스할 수도 있습니다. 기본적으로 쿼리는 type:malware를 지정하지 않는 한, 보안 취약성에 대해 GitHub에서 검토된 권고를 반환합니다. 자세한 내용은 “security_advisory webhook 이벤트”를 참조하세요.

GitHub Advisory Database의 권고 편집

GitHub Advisory Database의 권고에 대한 개선 사항을 제안할 수 있습니다. 자세한 내용은 “GitHub Advisory Database에서 보안 공지 편집”을 참조하세요.

GitHub Advisory Database 검색

데이터베이스를 검색하고 한정자를 사용하여 검색 범위를 좁힐 수 있습니다. 예를 들어 특정 날짜, 특정 에코시스템 또는 특정 라이브러리에서 만든 권고를 검색할 수 있습니다.

날짜 형식은 ISO8601 표준인 YYYY-MM-DD(년-월-일)를 따라야 합니다. 날짜 뒤에 선택적 시간 정보 THH:MM:SS+00:00을 추가하여 시, 분, 초로 검색할 수도 있습니다. 이것은 T이며 그 다음은 HH:MM:SS(시-분-초)와 UTC 오프셋(+00:00)입니다.

날짜를 검색할 때 보다 큼, 보다 작음, 범위 한정자를 사용하여 결과를 추가로 필터링할 수 있습니다. 자세한 내용은 “검색 구문 이해”를 참조하세요.

한정자예제
type:reviewedtype:reviewed는 GitHub에서 검토한 보안 취약성 권고를 표시합니다.
type:malwaretype:malware는 GitHub에서 검토한 맬웨어 권고를 표시합니다.
type:unreviewedtype:unreviewed는 검토되지 않은 권고를 표시합니다.
GHSA-IDGHSA-49wp-qq6x-g2rf는 이 GitHub Advisory Database ID가 포함된 권고를 표시합니다.
CVE-IDCVE-2020-28482는 이 CVE ID 번호가 포함된 권고를 표시합니다.
ecosystem:ECOSYSTEMecosystem:npm은 NPM 패키지에 영향을 주는 권고만 표시합니다.
severity:LEVELseverity:high는 심각도가 높은 권고만 표시합니다.
affects:LIBRARYaffects:lodash는 lodash 라이브러리에 영향을 주는 권고만 표시합니다.
cwe:IDcwe:352는 이 CWE 번호가 포함된 권고만 표시합니다.
credit:USERNAMEcredit:octocat은 "octocat" 사용자 계정에 크레딧이 적립된 권고만 표시합니다.
sort:created-ascsort:created-asc는 가장 오래된 권고부터 정렬합니다.
sort:created-descsort:created-desc는 최신 권고부터 정렬합니다.
sort:updated-ascsort:updated-asc는 가장 늦게 업데이트된 항목별로 정렬합니다.
sort:updated-descsort:updated-desc는 가장 최근에 업데이트된 항목별로 정렬합니다.
is:withdrawnis:withdrawn은 철회된 권고만 표시합니다.
created:YYYY-MM-DDcreated:2021-01-13은 이 날짜에 만든 권고만 표시합니다.
updated:YYYY-MM-DDupdated:2021-01-13은 이 날짜에 업데이트된 권고만 표시합니다.

취약한 리포지토리 보기

GitHub Advisory Database의 GitHub에서 검토한 권고의 경우 해당 보안 취약성 또는 맬웨어의 영향을 받는 리포지토리를 확인할 수 있습니다. 취약한 리포지토리를 보려면 해당 리포지토리에 대한 Dependabot alerts에 액세스할 수 있어야 합니다. 자세한 내용은 “Dependabot alerts 정보”를 참조하세요.

  1. https://github.com/advisories로 이동합니다.
  2. 권고를 클릭합니다.
  3. 권고 페이지의 맨 위에서 Dependabot 경고를 클릭합니다. Dependabot 경고
  4. 필요에 따라 목록을 필터링하려면 검색 창 또는 드롭다운 메뉴를 사용합니다. "조직" 드롭다운 메뉴를 사용하면 소유자(조직 또는 사용자)를 기준으로 Dependabot alerts를 필터링할 수 있습니다. 경고를 필터링하는 검색 창 및 드롭다운 메뉴
  5. 권고에 대한 자세한 내용과 취약한 리포지토리를 해결하는 방법에 대한 조언을 보려면 리포지토리 이름을 클릭합니다.