Доступ к рекомендации в GitHub Advisory Database
Вы можете получить доступ к любым советам в GitHub Advisory Database.
-
Перейдите к https://github.com/advisories.
-
При необходимости, чтобы отфильтровать список консультантов, используйте поле поиска или раскрывающееся меню в верхней части списка.
Note
С помощью боковой панели слева можно изучить GitHub-рассмотренные и неосмотренные рекомендации отдельно или фильтровать по экосистеме.
-
Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы просмотреть рекомендации по вредоносным программам, укажите
type:malware
в строке поиска.
База данных также доступна с помощью API GraphQL. По умолчанию запросы возвращают проверенные в GitHub рекомендации по уязвимостям системы безопасности, если не указано type:malware
. Дополнительные сведения см. в разделе "События и полезные данные веб-перехватчика".
Кроме того, доступ к данным GitHub Advisory Database можно получить с помощью REST API. Дополнительные сведения см. в разделе "Конечные точки REST API для глобальных рекомендаций по безопасности".
Редактирование рекомендации в GitHub Advisory Database
Вы можете предложить улучшения для любой рекомендации в GitHub Advisory Database. Дополнительные сведения см. в разделе «Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub».
Поиск в GitHub Advisory Database
Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.
Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD
(год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00
после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T
, а затем идет HH:MM:SS
(час, минуты, секунды) и смещение от UTC (+00:00
).
При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.
Квалификатор | Пример |
---|---|
type:reviewed | type:reviewed: рекомендации по уязвимостям системы безопасности, проверенные GitHub. |
type:malware | тип:вредоносные программы будут отображать рекомендации по вредоносным программам. |
type:unreviewed | type:unreviewed будет отображать непроверенные рекомендации. |
GHSA-ID | GHSA-49wp-qq6x-g2rf покажет рекомендацию с этим идентификатором GitHub Advisory Database. |
CVE-ID | CVE-2020-28482 покажет рекомендацию с этим идентификационным номером CVE. |
ecosystem:ECOSYSTEM | экосистема:npm отображает только рекомендации, влияющие на пакеты npm. |
severity:LEVEL | severity:high будут отображаться только рекомендации с высоким уровнем серьезности. |
affects:LIBRARY | affects:lodash покажет только рекомендации, касающиеся библиотеки lodash. |
cwe:ID | cwe:352 покажет только рекомендации с этим номером CWE. |
credit:USERNAME | credit:octocat покажет только рекомендации, зачисленные на учетную запись пользователя "octocat". |
sort:created-asc | sort:created-asc сначала отсортирует самые старые рекомендации. |
sort:created-desc | sort:created-desc сначала отсортирует самые новые рекомендации. |
sort:updated-asc | sort:updated-asc будет сортировать по наиболее давним обновлениям. |
sort:updated-desc | sort:updated-desc будет сортировать по самым последним обновлениям. |
is:withdrawn | is:withdrawn покажет только те рекомендации, которые были отозваны. |
created:YYYY-MM-DD | created:2021-01-13 покажет рекомендации, созданные в эту дату. |
updated:YYYY-MM-DD | updated:2021-01-13 покажет только рекомендации, обновленные в эту дату. |
Квалификатор GHSA-ID
— это уникальный идентификатор, который мы автоматически назначаем GitHub каждому рекомендацию в GitHub Advisory Database. Дополнительные сведения об этих идентификаторах см. в разделе "Сведения о GitHub Advisory Database".
Просмотр ваших уязвимых репозиториев
Для любой проверенной в GitHub рекомендации в GitHub Advisory Database вы можете увидеть, какие из ваших репозиториев подвержены этой уязвимости или вредоносной программе. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в разделе «Сведения об оповещениях Dependabot».
- Перейдите к https://github.com/advisories.
- Щелкните рекомендацию.
- В верхней части страницы рекомендаций щелкните Оповещения Dependabot.
- При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя).
- Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.