Skip to main content
Мы публикуем частые обновления нашей документации, и перевод этой страницы может все еще выполняться. Актуальные сведения см. в документации на английском языке.

Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub

В этой статье

Вы можете просмотреть GitHub Advisory Database, чтобы найти рекомендации по рискам безопасности в проектах с открытым кодом, размещенных в GitHub.

Доступ к рекомендации в GitHub Advisory Database

Вы можете получить доступ к любым советам в GitHub Advisory Database.

  1. Перейдите к https://github.com/advisories.

  2. При необходимости используйте любое из раскрывающихся меню, чтобы отфильтровать список. Раскрывающиеся фильтры

    Совет. Вы можете использовать боковую панель слева, чтобы просмотреть проверенные в GitHub и непроверенные рекомендации по отдельности.

  3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы отобразить рекомендации по вредоносным программам, используйте type:malware в строке поиска.

База данных также доступна с помощью API GraphQL. По умолчанию запросы возвращают GitHub— проверенные рекомендации по работе с уязвимостями системы безопасности, если только не указано type:malware. Дополнительные сведения см. в разделе "Событие веб-перехватчика security_advisory".

Редактирование рекомендации в GitHub Advisory Database

Вы можете предложить улучшения для любой рекомендации в GitHub Advisory Database. Дополнительные сведения см. в разделе Редактирование рекомендаций по безопасности в GitHub Advisory Database.

Поиск в GitHub Advisory Database

Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.

Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Для получения дополнительной информации см. раздел Основные сведения о различных ролях.

КвалификаторПример
type:reviewedtype:reviewed: рекомендации по уязвимостям системы безопасности, проверенные GitHub.
type:malwaretype:malware будет отображать проверенные в GitHub рекомендации для вредоносных программ.
type:unreviewedtype:unreviewed будет отображать непроверенные рекомендации.
GHSA-IDGHSA-49wp-qq6x-g2rf покажет рекомендацию с этим идентификатором GitHub Advisory Database.
CVE-IDCVE-2020-28482 покажет рекомендацию с этим идентификационным номером CVE.
ecosystem:ECOSYSTEMecosystem:npm покажет только рекомендации, касающиеся пакетов NPM.
severity:LEVELseverity:high будут отображаться только рекомендации с высоким уровнем серьезности.
affects:LIBRARYaffects:lodash покажет только рекомендации, касающиеся библиотеки lodash.
cwe:IDcwe:352 покажет только рекомендации с этим номером CWE.
credit:USERNAMEcredit:octocat покажет только рекомендации, зачисленные на учетную запись пользователя "octocat".
sort:created-ascsort:created-asc сначала отсортирует самые старые рекомендации.
sort:created-descsort:created-desc сначала отсортирует самые новые рекомендации.
sort:updated-ascsort:updated-asc будет сортировать по наиболее давним обновлениям.
sort:updated-descsort:updated-desc будет сортировать по самым последним обновлениям.
is:withdrawnis:withdrawn покажет только те рекомендации, которые были отозваны.
created:YYYY-MM-DDcreated:2021-01-13 покажет рекомендации, созданные в эту дату.
updated:YYYY-MM-DDupdated:2021-01-13 покажет только рекомендации, обновленные в эту дату.

Просмотр ваших уязвимых репозиториев

Для любой проверенной в GitHub рекомендации в GitHub Advisory Database вы можете увидеть, какие из ваших репозиториев подвержены этой уязвимости или вредоносной программе. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в статье "Сведения о Dependabot alerts".

  1. Перейдите к https://github.com/advisories.
  2. Щелкните рекомендацию.
  3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot. Оповещения Dependabot
  4. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя). Панель поиска и раскрывающиеся меню для фильтрации оповещений
  5. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.