Skip to main content

Como procurar avisos de segurança no GitHub Advisory Database

Você pode procurar avisos no GitHub Advisory Database sobre riscos de segurança em projetos código aberto hospedados no GitHub.

Acessar uma consultoria no GitHub Advisory Database

Você pode acessar qualquer aviso no GitHub Advisory Database.

  1. Navegue até https://github.com/advisories.

  2. Opcionalmente, para filtrar a lista, use qualquer um dos menus suspensos. Filtros suspensos

    Dica: você pode usar a barra lateral à esquerda para explorar os avisos revisados e não revisados do GitHub separadamente.

  3. Clique em um aviso para examinar as informações. Por padrão, você verá os avisos examinados pelo GitHub sobre vulnerabilidades de segurança.

O banco de dados também pode ser acessado usando a API do GraphQL. Para obter mais informações, confira o "evento de webhook security_advisory."

Editando uma consultoria em GitHub Advisory Database

Você pode sugerir melhorias para qualquer consultoria em GitHub Advisory Database. Para obter mais informações, confira "Como editar avisos de segurança no GitHub Advisory Database".

Pesquisar em GitHub Advisory Database

Você pode procurar no banco de dados e usar qualificadores para limitar sua busca. Por exemplo, você pode procurar consultorias criadas em uma determinada data, em um ecossistema específico ou em uma biblioteca em particular.

A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).

Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para obter mais informações, confira "Noções básicas sobre a sintaxe de pesquisa".

QualificadorExemplo
type:reviewedtype:reviewed mostrará os avisos examinados pelo GitHub sobre vulnerabilidades de segurança.
type:unreviewedtype:unreviewed mostrará os avisos não verificados.
GHSA-IDGHSA-49wp-qq6x-g2rf mostrará o aviso com esta ID do GitHub Advisory Database.
CVE-IDCVE-2020-28482 mostrará o aviso com esse número de ID do CVE.
ecosystem:ECOSYSTEMecosystem:npm mostrará apenas os avisos que afetam os pacotes npm.
severity:LEVELseverity:high mostrará apenas os avisos com um nível de severidade alta.
affects:LIBRARYaffects:lodash mostrará apenas os avisos que afetam a biblioteca lodash.
cwe:IDcwe:352 mostrará apenas os avisos com esse número de CWE.
credit:USERNAMEcredit:octocat mostrará apenas os avisos creditados à conta de usuário "octocat".
sort:created-ascsort:created-asc classificará os resultados pelos avisos mais antigos primeiro.
sort:created-descsort:created-desc classificará os resultados pelos avisos mais recentes primeiro.
sort:updated-ascsort:updated-asc classificará os resultados pela atualização menos recente primeiro.
sort:updated-descsort:updated-desc classificará os resultados pela atualização mais recente primeiro.
is:withdrawnis:withdrawn mostrará apenas os avisos que foram retirados.
created:YYYY-MM-DDcreated:2021-01-13 mostrará apenas os avisos criados nessa data.
updated:YYYY-MM-DDupdated:2021-01-13 mostrará apenas os avisos atualizados nessa data.

Visualizar seus repositórios vulneráveis

Para qualquer aviso examinado pelo GitHub no GitHub Advisory Database, você pode ver qual dos repositórios são afetados por essa vulnerabilidade de segurança. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para obter mais informações, confira "Sobre os Dependabot alerts".

  1. Navegue até https://github.com/advisories.
  2. Clique em uma consultoria.
  3. Na parte superior da página do aviso, clique em Alertas do Dependabot. Alertas do Dependabot
  4. Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar Dependabot alerts por proprietário (organização ou usuário). Barra de pesquisa e menus suspensos usados para filtrar alertas
  5. Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.

Acessar o banco de dados de aviso local em your GitHub Enterprise Server instance

Se o administrador do site tiver habilitado GitHub Connect para your GitHub Enterprise Server instance, você também poderá procurar avisos examinados localmente. Para obter mais informações, confira "Sobre o GitHub Connect".

Você pode usar seu banco de dados de aviso local para verificar se uma vulnerabilidade de segurança específica está incluída e, portanto, se você receberia alertas para dependências vulneráveis. Você também pode exibir repositórios vulneráveis.

  1. Navegue até https://HOSTNAME/advisories.

  2. Opcionalmente, para filtrar a lista, use qualquer um dos menus suspensos. Filtros suspensos

    Observação: apenas avisos examinados serão listados. Os avisos não examinados podem ser exibidos em GitHub Advisory Database em GitHub.com. Para obter mais informações, confira "Como acessar um aviso no Banco de Dados Consultivo do GitHub".

  3. Clique em um aviso para exibir detalhes.

Você também pode sugerir aprimoramentos em qualquer aviso diretamente do banco de dados de aviso local. Para obter mais informações, confira "Editar avisos de your GitHub Enterprise Server instance".

Exibir repositórios vulneráveis para your GitHub Enterprise Server instance

Enterprise owners must enable Dependabot alerts for your GitHub Enterprise Server instance before you can use this feature. For more information, see "Enabling Dependabot for your enterprise."

No banco de dados de aviso local, você pode ver quais repositórios são afetados por cada vulnerabilidade de segurança. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para obter mais informações, confira "Sobre os Dependabot alerts".

  1. Navegue até https://HOSTNAME/advisories.
  2. Clique em uma consultoria.
  3. Na parte superior da página do aviso, clique em Alertas do Dependabot. Alertas do Dependabot
  4. Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar Dependabot alerts por proprietário (organização ou usuário). Barra de pesquisa e menus suspensos usados para filtrar alertas
  5. Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.