Доступ к рекомендации в GitHub Advisory Database
Вы можете получить доступ к любым советам в GitHub Advisory Database.
-
Перейдите к https://github.com/advisories.
-
При необходимости используйте любое из раскрывающихся меню, чтобы отфильтровать список.
Совет. Вы можете использовать боковую панель слева, чтобы просмотреть проверенные в GitHub и непроверенные рекомендации по отдельности.
-
Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы отобразить рекомендации по вредоносным программам, используйте
type:malware
в строке поиска.
База данных также доступна с помощью API GraphQL. По умолчанию запросы возвращают GitHub— проверенные рекомендации по работе с уязвимостями системы безопасности, если только не указано type:malware
. Дополнительные сведения см. в разделе "Событие веб-перехватчика security_advisory
".
Редактирование рекомендации в GitHub Advisory Database
Вы можете предложить улучшения для любой рекомендации в GitHub Advisory Database. Дополнительные сведения см. в разделе Редактирование рекомендаций по безопасности в GitHub Advisory Database.
Поиск в GitHub Advisory Database
Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.
Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD
(год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00
после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T
, а затем идет HH:MM:SS
(час, минуты, секунды) и смещение от UTC (+00:00
).
При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Для получения дополнительной информации см. раздел Основные сведения о различных ролях.
Квалификатор | Пример |
---|---|
type:reviewed | type:reviewed: рекомендации по уязвимостям системы безопасности, проверенные GitHub. |
type:malware | type:malware будет отображать проверенные в GitHub рекомендации для вредоносных программ. |
type:unreviewed | type:unreviewed будет отображать непроверенные рекомендации. |
GHSA-ID | GHSA-49wp-qq6x-g2rf покажет рекомендацию с этим идентификатором GitHub Advisory Database. |
CVE-ID | CVE-2020-28482 покажет рекомендацию с этим идентификационным номером CVE. |
ecosystem:ECOSYSTEM | ecosystem:npm покажет только рекомендации, касающиеся пакетов NPM. |
severity:LEVEL | severity:high будут отображаться только рекомендации с высоким уровнем серьезности. |
affects:LIBRARY | affects:lodash покажет только рекомендации, касающиеся библиотеки lodash. |
cwe:ID | cwe:352 покажет только рекомендации с этим номером CWE. |
credit:USERNAME | credit:octocat покажет только рекомендации, зачисленные на учетную запись пользователя "octocat". |
sort:created-asc | sort:created-asc сначала отсортирует самые старые рекомендации. |
sort:created-desc | sort:created-desc сначала отсортирует самые новые рекомендации. |
sort:updated-asc | sort:updated-asc будет сортировать по наиболее давним обновлениям. |
sort:updated-desc | sort:updated-desc будет сортировать по самым последним обновлениям. |
is:withdrawn | is:withdrawn покажет только те рекомендации, которые были отозваны. |
created:YYYY-MM-DD | created:2021-01-13 покажет рекомендации, созданные в эту дату. |
updated:YYYY-MM-DD | updated:2021-01-13 покажет только рекомендации, обновленные в эту дату. |
Просмотр ваших уязвимых репозиториев
Для любой проверенной в GitHub рекомендации в GitHub Advisory Database вы можете увидеть, какие из ваших репозиториев подвержены этой уязвимости или вредоносной программе. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в статье "Сведения о Dependabot alerts".
- Перейдите к https://github.com/advisories.
- Щелкните рекомендацию.
- В верхней части страницы рекомендаций щелкните Оповещения Dependabot.
- При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя).
- Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.