Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Pesquisar vulnerabilidades de segurança no banco de dados de consultoria do GitHub

O Banco de Dados Consultivo GitHub permite que você pesquise vulnerabilidades que afetam projetos de código aberto no GitHub.

Neste artigo

Esse documento ajudou você?

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.

Sobre vulnerabilidades de segurança

Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. As vulnerabilidades variam de tipo, gravidade e método de ataque.

O GitHub enviará Alertas GitHub Dependabot se detectarmos que qualquer uma das vulnerabilidades do Banco de Dados Consultivo GitHub afetam os pacotes dos quais seu repositório depende. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"

Sobre o Banco de Dados Consultivo GitHub

O Banco de Dados Consultivo GitHub contém uma lista curada de vulnerabilidades de segurança que foram mapeadas para pacotes monitorados pelo gráfico de dependências de GitHub. Adicionamos vulnerabilidades a Banco de Dados Consultivo GitHub a partir das seguintes fontes:

  • A Base de Dados de Vulnerabilidade Nacional
  • Uma combinação de aprendizado de máquina e revisão humana para detectar vulnerabilidades em commits públicos em GitHub
  • Consultorias de segurança relatadas em GitHub
  • O banco de dados de Consultorias de segurança de npm

Cada consultoria de segurança contém informações sobre a vulnerabilidade, incluindo descrição, gravidade, pacote afetado. ecossistema de pacote, versões afetadas e versões de patch, impacto e informações opcionais como, por exemplo, referências, soluções alternativas e créditos. Além disso, a consultoria da lista de Bancos de Vulnerabilidade Nacional contêm um link para o registro CVE, onde você pode ler mais detalhes sobre a vulnerabilidade, suas pontuações CVSS e seu nível de gravidade qualitativa. Para obter mais informações, consulte a "Base de Dados de Vulnerabilidade Nacional" do Instituto Nacional de Padrões e Tecnologia.

O nível de gravidade é um dos quatro níveis possíveis definidos no Sistema de pontuação de vulnerabilidade comum (CVSS, Common Vulnerability Scoring System), Seção 2.1.2:

  • Baixo
  • Moderado
  • Alto
  • Crítico

O Banco de Dados Consultivo GitHub usa padrões a versão 3.0 do CVSS e os níveis de CVSS descritos acima. GitHub não publica pontuações de CVSS.

Você também pode participar de Laboratório de Segurança GitHub para pesquisar tópicos relacionados a segurança e contribuir com ferramentas e projetos de segurança.

Acessar uma consultoria no Banco de Dados Consultivo GitHub

  1. Navegue até https://github.com/advisories.
  2. Opcionalmente, para filtrar a lista, use qualquer um dos menus suspensos.
    Filtros do menu suspenso
  3. Clique em qualquer consultoria para visualizar as informações.

O banco de dados também pode ser acessado usando a API do GraphQL. Para obter mais informações, consulte " evento de webhook security_advisory."

Pesquisar em Banco de Dados Consultivo GitHub

Você pode pesquisar no banco de dados e usar qualificadores para restringir sua pesquisa com consultorias criadas em uma determinada data, em um ecossistema específico ou em uma biblioteca específica.

O formato de data deve seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Você também pode adicionar informações de tempo opcionais THH:MM:SS+00:00 após a data, para pesquisar por hora, minuto e segundo. Isso se faz adicionando T, seguido de HH:MM:SS (hora-minutos-segundos) e um intervalo de UTC (+00:00).

Datas são compatíveis com os qualificadores maior que, menor que e de intervalo.

QualifierExemplo
ecosystem:ECOSYSTEMecosystem:npm mostrará apenas as consultorias que afetam os pacotes NPM.
severity:LEVELseverity:high mostrará apenas as consultorias com um alto nível de gravidade.
affects:LIBRARYaffects:lodash mostrará apenas as consultorias que afetam a biblioteca de lodash.
sort:created-ascsort:created-asc classificará os resultados, mostrando as consultorias mais antigas primeiro.
sort:created-descsort:created-desc classificará os resultados mostrando as consultorias mais novas primeiro.
sort:updated-ascsort:updated-asc classificará os resultados, mostrando os menos atualizados primeiro.
sort:updated-descsort:updated-desc classificará os resultados, mostrando os mais atualizados primeiro.
is:withdrawnis:withdrawn mostrará apenas as consultorias que foram retiradas.
created:YYYY-MM-DDcreated:2019-10-31 mostrará apenas as consultorias criadas nessa data.
updated:YYYY-MM-DDupdated:2019-10-31 mostrará somente as consultorias atualizadas nesta data.

Leia mais

Esse documento ajudou você?

Ajude-nos a tornar esses documentos ótimos!

Todos os documentos do GitHub são de código aberto. Você percebeu que algo que está errado ou não está claro? Envie um pull request.

Faça uma contribuição

Ou, aprenda como contribuir.