Skip to main content

Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub

Вы можете просмотреть GitHub Advisory Database для поиска CVEs и GitHub, которые влияют на открытый код мире.

Доступ к рекомендации в GitHub Advisory Database

Вы можете получить доступ к любым советам в GitHub Advisory Database.

  1. Перейдите к https://github.com/advisories.

  2. При необходимости, чтобы отфильтровать список консультантов, используйте поле поиска или раскрывающееся меню в верхней части списка.

    Примечание. Вы можете использовать боковую панель слева для изучения GitHub- просмотренных и неосмотренных рекомендаций по отдельности или фильтрации по экосистеме.

  3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы просмотреть рекомендации по вредоносным программам, укажите type:malware в строке поиска.

База данных также доступна с помощью API GraphQL. По умолчанию запросы возвращают проверенные в GitHub рекомендации по уязвимостям системы безопасности, если не указано type:malware. Дополнительные сведения см. в разделе "События и полезные данные веб-перехватчика".

Кроме того, доступ к данным GitHub Advisory Database можно получить с помощью REST API. Дополнительные сведения см. в разделе "Конечные точки REST API для глобальных рекомендаций по безопасности".

Редактирование рекомендации в GitHub Advisory Database

Вы можете предложить улучшения для любой рекомендации в GitHub Advisory Database. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Поиск в GitHub Advisory Database

Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.

Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.

КвалификаторПример
type:reviewedtype:reviewed: рекомендации по уязвимостям системы безопасности, проверенные GitHub.
type:malwareтип:вредоносные программы будут отображать рекомендации по вредоносным программам.
type:unreviewedtype:unreviewed будет отображать непроверенные рекомендации.
GHSA-IDGHSA-49wp-qq6x-g2rf покажет рекомендацию с этим идентификатором GitHub Advisory Database.
CVE-IDCVE-2020-28482 покажет рекомендацию с этим идентификационным номером CVE.
ecosystem:ECOSYSTEMэкосистема:npm отображает только рекомендации, влияющие на пакеты npm.
severity:LEVELseverity:high будут отображаться только рекомендации с высоким уровнем серьезности.
affects:LIBRARYaffects:lodash покажет только рекомендации, касающиеся библиотеки lodash.
cwe:IDcwe:352 покажет только рекомендации с этим номером CWE.
credit:USERNAMEcredit:octocat покажет только рекомендации, зачисленные на учетную запись пользователя "octocat".
sort:created-ascsort:created-asc сначала отсортирует самые старые рекомендации.
sort:created-descsort:created-desc сначала отсортирует самые новые рекомендации.
sort:updated-ascsort:updated-asc будет сортировать по наиболее давним обновлениям.
sort:updated-descsort:updated-desc будет сортировать по самым последним обновлениям.
is:withdrawnis:withdrawn покажет только те рекомендации, которые были отозваны.
created:YYYY-MM-DDcreated:2021-01-13 покажет рекомендации, созданные в эту дату.
updated:YYYY-MM-DDupdated:2021-01-13 покажет только рекомендации, обновленные в эту дату.

Квалификатор GHSA-ID — это уникальный идентификатор, который мы автоматически назначаем GitHub каждому рекомендацию в GitHub Advisory Database. Дополнительные сведения об этих идентификаторах см. в разделе "Сведения о GitHub Advisory Database".

Просмотр ваших уязвимых репозиториев

Для любой проверенной в GitHub рекомендации в GitHub Advisory Database вы можете увидеть, какие из ваших репозиториев подвержены этой уязвимости или вредоносной программе. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

  1. Перейдите к https://github.com/advisories.
  2. Щелкните рекомендацию.
  3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot.
    Снимок экрана: "Рекомендации по глобальной безопасности". Кнопка "Оповещения Dependabot" выделена оранжевым контуром.
  4. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя).
  5. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.

Доступ к локальной базе данных консультантов по GitHub Enterprise Server

Если администратор сайта включил GitHub Connect для вашего экземпляра, вы также можете просматривать проверенные рекомендации локально. Дополнительные сведения см. в разделе "Сведения о GitHub Connect".

Вы можете использовать локальную базу данных рекомендаций, чтобы проверить, добавлена ли определенная уязвимость безопасности и, следовательно, будете ли вы получать оповещения об уязвимых зависимостях. Вы также можете просмотреть все уязвимые репозитории.

  1. Перейдите к https://HOSTNAME/advisories.

  2. При необходимости используйте любое из раскрывающихся меню, чтобы отфильтровать список.

    Примечание. В список включаются только проверенные рекомендации. Непроверенные рекомендации можно просмотреть в GitHub Advisory Database в GitHub.com. Дополнительные сведения см. в статье Доступ к рекомендациям в базе данных рекомендаций GitHub.

  3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы просмотреть рекомендации по вредоносным программам, укажите type:malware в строке поиска.

Вы также можете предлагать улучшения для включения в рекомендации непосредственно из локальной базы данных рекомендаций. Дополнительные сведения см. в разделе "Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub".

Просмотр уязвимых репозиториев для вашего экземпляра

Владельцы предприятия должны включить Dependabot alerts для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

В локальной базе данных консультантов можно увидеть, какие репозитории влияют на каждую уязвимость безопасности или вредоносные программы. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

  1. Перейдите к https://HOSTNAME/advisories.
  2. Щелкните рекомендацию.
  3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot.
    Снимок экрана: "Рекомендации по глобальной безопасности". Кнопка "Оповещения Dependabot" выделена оранжевым контуром.
  4. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя).
  5. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.