Publicamos atualizações frequentes em nossa documentação, e a tradução desta página ainda pode estar em andamento. Para obter as informações mais recentes, acesse a documentação em inglês. Se houver problemas com a tradução desta página, entre em contato conosco.

Pesquisar vulnerabilidades de segurança no banco de dados de consultoria do GitHub

O Banco de Dados Consultivo GitHub permite que você pesquise vulnerabilidades que afetam projetos de código aberto no GitHub.

Neste artigo

Sobre vulnerabilidades de segurança

Uma vulnerabilidade é um problema no código de um projeto que poderia ser explorada para corromper a confidencialidade, a integridade ou a disponibilidade do projeto ou de outros projetos que usam o código. Vulnerabilities vary in type, severity, and method of attack.

GitHub will send you Alertas GitHub Dependabot if we detect that any of the vulnerabilities from the Banco de Dados Consultivo GitHub affect the packages that your repository depends on. Para obter mais informações, consulte "Sobre alertas para dependências vulneráveis"

Sobre o Banco de Dados Consultivo GitHub

O Banco de Dados Consultivo GitHub contém uma lista curada de vulnerabilidades de segurança que foram mapeadas para pacotes monitorados pelo gráfico de dependências de GitHub. We add vulnerabilities to the Banco de Dados Consultivo GitHub from the following sources:

Each security advisory contains information about the vulnerability, including the description, severity, affected package, package ecosystem, affected versions and patched versions, impact, and optional information such as references, workarounds, and credits. Além disso, a consultoria da lista de Bancos de Vulnerabilidade Nacional contêm um link para o registro CVE, onde você pode ler mais detalhes sobre a vulnerabilidade, suas pontuações CVSS e seu nível de gravidade qualitativa. For more information, see the "National Vulnerability Database" from the National Institute of Standards and Technology.

O nível de gravidade é um dos quatro níveis possíveis definidos no Sistema de pontuação de vulnerabilidade comum (CVSS, Common Vulnerability Scoring System), Seção 2.1.2:

  • Baixo
  • Moderado
  • Alto
  • Crítico

The Banco de Dados Consultivo GitHub uses CVSS version 3.0 standards and the CVSS levels described above. GitHub doesn't publish CVSS scores.

You can also join Laboratório de Segurança GitHub to browse security-related topics and contribute to security tools and projects.

Accessing an advisory in the Banco de Dados Consultivo GitHub

  1. Navegue até https://github.com/advisories.
  2. Optionally, to filter the list, use any of the drop-down menus.
    Filtros do menu suspenso
  3. Clique em qualquer consultoria para visualizar as informações.

The database is also accessible using the GraphQL API. Para obter mais informações, consulte " evento de webhook security_advisory."

Searching the Banco de Dados Consultivo GitHub

You can search the database, and use qualifiers to narrow your search to advisories created on a certain date, in a specific ecosystem, or in a particular library.

Date formatting must follow the ISO8601 standard, which is YYYY-MM-DD (year-month-day). You can also add optional time information THH:MM:SS+00:00 after the date, to search by the hour, minute, and second. That's T, followed by HH:MM:SS (hour-minutes-seconds), and a UTC offset (+00:00).

Dates support greater than, less than, and range qualifiers.

QualificadorExemplo
ecosystem:ECOSYSTEMecosystem:npm mostrará apenas as consultorias que afetam os pacotes NPM.
severity:LEVELseverity:high mostrará apenas as consultorias com um alto nível de gravidade.
affects:LIBRARYaffects:lodash mostrará apenas as consultorias que afetam a biblioteca de lodash.
sort:created-ascsort:created-asc classificará os resultados, mostrando as consultorias mais antigas primeiro.
sort:created-descsort:created-desc classificará os resultados mostrando as consultorias mais novas primeiro.
sort:updated-ascsort:updated-asc classificará os resultados, mostrando os menos atualizados primeiro.
sort:updated-descsort:updated-desc classificará os resultados, mostrando os mais atualizados primeiro.
is:withdrawnis:withdrawn mostrará apenas as consultorias que foram retiradas.
created:YYYY-MM-DDcreated:2019-10-31 mostrará apenas as consultorias criadas nessa data.
updated:YYYY-MM-DDupdated:2019-10-31 mostrará somente as consultorias atualizadas nesta data.

Leia mais

Pergunte a uma pessoa

Não consegue encontrar o que procura?

Entrar em contato