Skip to main content
我们经常发布文档更新,此页面的翻译可能仍在进行中。 有关最新信息,请访问英语文档

此版本的 GitHub Enterprise 将停止服务 2023-03-15. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

关于 GitHub 公告数据库

GitHub Advisory Database 包含已知安全漏洞的列表,分为两类:经 GitHub 审核的公告和未经审核的公告。

关于 GitHub Advisory Database

我们从以下来源向 GitHub Advisory Database 添加公告信息:

如果你知道我们应该从中导入顾问的另一个数据库,请通过在 https://github.com/github/advisory-database 中创建问题来告诉我们。

安全公告以开放源代码漏洞 (OSV) 格式的 JSON 文件形式发布。 有关 OSV 格式的详细信息,请参阅“开放源代码漏洞格式”。

关于安全公告的类型

GitHub Advisory Database 中的每个公告都涉及开放源代码项目中的漏洞。

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 漏洞的类型、严重性和攻击方法各不相同。 代码中的漏洞通常是偶然引入的,并在被发现后很快会得到修复。 应更新代码,以便在依赖项可用时立即使用它的修复后的版本。

经 GitHub 审核的公告

经 GitHub 审核的公告是已映射到支持的生态系统中的包的安全漏洞。 仔细查看每个公告的有效性,并确保它们具有完整的说明,以及包含生态系统和包信息。

通常,我们以软件编程语言的相关包注册表命名支持的生态系统。 我们会审查与受支持注册表中的包中的漏洞相关的公告。

如果对我们应该支持的新生态系统有任何建议,请提出问题以供讨论。

如果为存储库启用 Dependabot alerts,则当经 GitHub 审核的新公告报告所依赖的包存在漏洞时,系统会自动通知你。 有关详细信息,请参阅“关于 Dependabot alerts”。

未审核的公告

未审核的公告是我们直接从国家漏洞数据库源自动发布到 GitHub Advisory Database 的安全漏洞。

Dependabot 不会为未审核的公告创建 Dependabot alerts,因为不会检查此类公告的有效性或完成情况。

关于安全公告中的信息

每个安全公告都包含有关漏洞的信息,可能包括说明、严重程度、受影响的包、包生态系统、受影响的版本和修补版本、影响以及可选信息(如引用、解决方法和积分)。 此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 有关详细信息,请参阅美国国家标准和技术研究院的“国家漏洞数据库”。

严重级别是“常见漏洞评分系统 (CVSS) 第 5 节”中定义的四个可能级别之一。

  • 严重

GitHub Advisory Database 使用上述 CVSS 级别。 如果 GitHub 获取 CVE,GitHub Advisory Database 将使用 CVSS 版本 3.1。 如果 CVE 是导入的,则 GitHub Advisory Database 支持 CVSS 版本 3.0 和 3.1。

还可加入 GitHub Security Lab,以浏览与安全相关的主题,并为安全工具和项目做出贡献。

延伸阅读