Доступ к рекомендации в GitHub Advisory Database
Вы можете получить доступ к любым советам в GitHub Advisory Database.
-
Перейдите к https://github.com/advisories.
-
При необходимости, чтобы отфильтровать список консультантов, используйте поле поиска или раскрывающееся меню в верхней части списка.
Примечание.
С помощью боковой панели слева можно изучить GitHub-рассмотренные и неосмотренные рекомендации отдельно или фильтровать по экосистеме.
-
Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы просмотреть рекомендации по вредоносным программам, укажите
type:malwareв строке поиска.
База данных также доступна с помощью API GraphQL. По умолчанию запросы возвращают проверенные в GitHub рекомендации по уязвимостям системы безопасности, если не указано type:malware. Дополнительные сведения см. в разделе AUTOTITLE.
Кроме того, доступ к данным GitHub Advisory Database можно получить с помощью REST API. Дополнительные сведения см. в разделе Конечные точки REST API для глобальных рекомендаций по безопасности.
Редактирование рекомендации в GitHub Advisory Database
Вы можете предложить улучшения для любой рекомендации в GitHub Advisory Database. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.
Поиск в GitHub Advisory Database
Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.
Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).
При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.
| Квалификатор | Пример |
|---|---|
type:reviewed | type:reviewed будут отображаться рекомендации по GitHub- просмотре рекомендаций по уязвимостям системы безопасности. |
type:malware | type:malware будут отображаться рекомендации по вредоносным программам. |
type:unreviewed | type:unreviewed будут отображаться неосмотренные рекомендации. |
GHSA-ID | GHSA-49wp-qq6x-g2rf отобразит рекомендации с этим идентификатором GitHub Advisory Database. |
CVE-ID | CVE-2020-28482 отобразит рекомендации с этим номером идентификатора CVE. |
ecosystem:ECOSYSTEM | ecosystem:npm отображаются только рекомендации, влияющие на пакеты npm. |
severity:LEVEL | severity:high будут отображаться только рекомендации с высоким уровнем серьезности. |
affects:LIBRARY | affects:lodash отображаются только рекомендации, влияющие на библиотеку lodash. |
cwe:ID | cwe:352 будут отображаться только рекомендации с этим номером CWE. |
credit:USERNAME | credit:octocat будут отображаться только помощники, кредитуемые учетной записью пользователя octocat. |
sort:created-asc | sort:created-asc сначала будет сортироваться по самым старым советникам. |
sort:created-desc | sort:created-desc сначала будет сортироваться по новым рекомендациям. |
sort:updated-asc | sort:updated-asc сначала будет сортироваться по наименее недавно обновленному. |
sort:updated-desc | sort:updated-desc сначала будет сортироваться по последнему обновлению. |
is:withdrawn | is:withdrawn отображаются только рекомендации, которые были отозваны. |
created:YYYY-MM-DD | created:2021-01-13 будут отображаться только рекомендации, созданные на этой дате. |
updated:YYYY-MM-DD | updated:2021-01-13 будут отображаться только рекомендации, обновленные на этой дате. |
Квалификатор GHSA-ID — это уникальный идентификатор, который мы автоматически назначаем GitHub каждому рекомендацию в GitHub Advisory Database. Дополнительные сведения об этих идентификаторах см. в разделе GitHub Advisory Database.
Просмотр ваших уязвимых репозиториев
Для любой проверенной в GitHub рекомендации в GitHub Advisory Database вы можете увидеть, какие из ваших репозиториев подвержены этой уязвимости или вредоносной программе. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.
- Перейдите к https://github.com/advisories.
- Щелкните рекомендацию.
- В верхней части страницы рекомендаций щелкните Оповещения Dependabot.
- При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя).
- Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.
