Skip to main content

在 GitHub Advisory Database 中浏览安全公告

可以浏览 GitHub Advisory Database 来查找影响开放源代码世界的 CVE 和 GitHub 发起的公告。

访问 GitHub Advisory Database 中的通告

可以访问 GitHub Advisory Database 中的任何公告。

  1. 导航到 https://github.com/advisories。

  2. (可选)若要筛选公告列表,请使用搜索字段或列表顶部的下拉菜单。

    注意:可以使用左侧边栏分别浏览 GitHub 已审核和未审核的公告,或按生态系统进行筛选。

  3. 单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。 若要显示恶意软件公告,请在搜索栏中使用 type:malware

也可以使用 GraphQL API 访问数据库。 默认情况下,查询将返回经过 GitHub 审核的安全漏洞公告,除非指定 type:malware。 有关详细信息,请参阅“Webhook 事件和有效负载”。

此外,可以使用 REST API 访问 GitHub Advisory Database。 有关详细信息,请参阅“适用于全局安全公告的 REST API 终结点”。

在 GitHub Advisory Database 中编辑公告

您可以对 GitHub Advisory Database 中的任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符缩小搜索范围。 例如,您可以搜索在特定日期、特定生态系统或特定库中创建的通告。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

限定符示例
type:reviewedtype:reviewed 将显示经 GitHub 审核的安全漏洞公告。
type:malwaretype:malware 将显示恶意软件公告。****
type:unreviewedtype:unreviewed 显示未审核的公告。
GHSA-IDGHSA-49wp-qq6x-g2rf 显示包含此 GitHub Advisory Database ID 的公告。
CVE-IDCVE-2020-28482 显示具有此 CVE ID 编号的公告。
ecosystem:ECOSYSTEMecosystem:npm 仅显示影响 npm 包的公告。
severity:LEVELseverity:high 仅显示具有较高严重性级别的公告。
affects:LIBRARYaffects:lodash 仅显示影响 lodash 库的公告。
cwe:IDcwe:352 仅显示具有此 CWE 编号的公告。
credit:USERNAMEcredit:octocat 仅显示属于“octocat”用户帐户的公告。
sort:created-ascsort:created-asc 按最旧的公告在前的顺序进行排序。
sort:created-descsort:created-desc 按最新的公告在前的顺序进行排序。
sort:updated-ascsort:updated-asc 按更新时间由远及近的顺序排序。
sort:updated-descsort:updated-desc 按更新时间由近及远的顺序排序。
is:withdrawnis:withdrawn 仅显示已撤回的公告。
created:YYYY-MM-DDcreated:2021-01-13 仅显示在此日期创建的公告。
updated:YYYY-MM-DDupdated:2021-01-13 仅显示在此日期更新的公告。

GHSA-ID 限定符是 GitHub 自动分配给 GitHub Advisory Database 中的每个公告的唯一 ID。 关于这些标识符的详细信息,请参阅“关于 GitHub Advisory Database”。

查看有漏洞的仓库

对于 GitHub Advisory Database 中任何经 GitHub 审核的公告,都可以查看哪些存储库受到该安全漏洞或恶意软件的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。

  1. 导航到 https://github.com/advisories。
  2. 单击通告。
  3. 在公告页面顶部,单击“Dependabot 警报”。
    “全局安全公告”的屏幕截图。 “Dependabot 警报”按钮以橙色轮廓突出显示。
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。
  5. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。

访问 GitHub Enterprise Server

上的本地公告数据库

如果站点管理员已为实例启用了 GitHub Connect,则还可以在本地浏览已审核的公告。 有关详细信息,请参阅“关于 GitHub Connect”。

可使用本地公告数据库来检查是否包含特定的安全漏洞,从而检查是否会收到有关易受攻击的依赖项的警报。 还可以查看任何易受攻击的存储库。

  1. 导航到 https://HOSTNAME/advisories

  2. (可选)要过滤列表,请使用任意下拉菜单。

    注意:只会列出已审核的公告。 可以在 GitHub.com 上的 GitHub Advisory Database 中查看未审核的公告。 有关详细信息,请参阅“访问 GitHub 公告数据库中的公告”。

  3. 单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。 若要显示恶意软件公告,请在搜索栏中使用 type:malware

还可以直接从本地公告数据库中对任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

查看实例的易受攻击存储库

企业所有者必须对你的 GitHub Enterprise Server 实例启用Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。

在本地公告数据库中,可以看到哪些存储库受到每个安全漏洞或恶意软件的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。

  1. 导航到 https://HOSTNAME/advisories
  2. 单击通告。
  3. 在公告页面顶部,单击“Dependabot 警报”。
    “全局安全公告”的屏幕截图。 “Dependabot 警报”按钮以橙色轮廓突出显示。
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。
  5. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。