此版本的 GitHub Enterprise Server 已于以下日期停止服务 2024-03-26. 即使针对重大安全问题,也不会发布补丁。 为了获得更好的性能、更高的安全性和新功能,请升级到最新版本的 GitHub Enterprise。 如需升级帮助,请联系 GitHub Enterprise 支持

在 GitHub Advisory Database 中浏览安全公告

可以浏览 GitHub Advisory Database 来查找影响开放源代码世界的 CVE 和 GitHub 发起的公告。

本文内容

访问 GitHub Advisory Database 中的通告

可以访问 GitHub Advisory Database 中的任何公告。

  1. 导航到 https://github.com/advisories。

  2. (可选)若要筛选公告列表,请使用搜索字段或列表顶部的下拉菜单。

    注意:可以使用左侧边栏分别浏览 GitHub 已审核和未审核的公告,或按生态系统进行筛选。

  3. 单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。

也可以使用 GraphQL API 访问数据库。 有关详细信息,请参阅“Webhook 事件和有效负载”。

在 GitHub Advisory Database 中编辑公告

您可以对 GitHub Advisory Database 中的任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符缩小搜索范围。 例如,您可以搜索在特定日期、特定生态系统或特定库中创建的通告。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

限定符示例
type:reviewedtype:reviewed 将显示经 GitHub 审核的安全漏洞公告。
type:unreviewedtype:unreviewed 显示未审核的公告。
GHSA-IDGHSA-49wp-qq6x-g2rf 显示包含此 GitHub Advisory Database ID 的公告。
CVE-IDCVE-2020-28482 显示具有此 CVE ID 编号的公告。
ecosystem:ECOSYSTEMecosystem:npm 仅显示影响 npm 包的公告。
severity:LEVELseverity:high 仅显示具有较高严重性级别的公告。
affects:LIBRARYaffects:lodash 仅显示影响 lodash 库的公告。
cwe:IDcwe:352 仅显示具有此 CWE 编号的公告。
credit:USERNAMEcredit:octocat 仅显示属于“octocat”用户帐户的公告。
sort:created-ascsort:created-asc 按最旧的公告在前的顺序进行排序。
sort:created-descsort:created-desc 按最新的公告在前的顺序进行排序。
sort:updated-ascsort:updated-asc 按更新时间由远及近的顺序排序。
sort:updated-descsort:updated-desc 按更新时间由近及远的顺序排序。
is:withdrawnis:withdrawn 仅显示已撤回的公告。
created:YYYY-MM-DDcreated:2021-01-13 仅显示在此日期创建的公告。
updated:YYYY-MM-DDupdated:2021-01-13 仅显示在此日期更新的公告。

GHSA-ID 限定符是 GitHub 自动分配给 GitHub Advisory Database 中的每个公告的唯一 ID。 关于这些标识符的详细信息,请参阅“关于 GitHub Advisory Database”。

查看有漏洞的仓库

对于 GitHub Advisory Database 中任何经 GitHub 审核的公告,你都可以查看哪些存储库受该安全漏洞的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。

  1. 导航到 https://github.com/advisories。
  2. 单击通告。
  3. 在公告页面顶部,单击“Dependabot 警报”。 “全局安全公告”的屏幕截图。 “Dependabot 警报”按钮以橙色轮廓突出显示。
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。
  5. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。

访问 你的 GitHub Enterprise Server 实例

上的本地公告数据库

如果站点管理员已为 你的 GitHub Enterprise Server 实例 启用 GitHub Connect,你还可以在本地浏览已审核的公告。 有关详细信息,请参阅“关于 GitHub Connect”。

可使用本地公告数据库来检查是否包含特定的安全漏洞,从而检查是否会收到有关易受攻击的依赖项的警报。 还可以查看任何易受攻击的存储库。

  1. 导航到 https://HOSTNAME/advisories

  2. (可选)要过滤列表,请使用任意下拉菜单。

    注意:只会列出已审核的公告。 可以在 GitHub.com 上的 GitHub Advisory Database 中查看未审核的公告。 有关详细信息,请参阅“访问 GitHub 公告数据库中的公告”。

  3. 单击公告以查看详细信息。

还可以直接从本地公告数据库中对任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

查看 你的 GitHub Enterprise Server 实例

的易受攻击的存储库

企业所有者必须对你的 GitHub Enterprise Server 实例启用Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。

在本地公告数据库中,可以看到哪些存储库受到每个安全漏洞的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。

  1. 导航到 https://HOSTNAME/advisories
  2. 单击通告。
  3. 在公告页面顶部,单击“Dependabot 警报”。 “全局安全公告”的屏幕截图。 “Dependabot 警报”按钮以橙色轮廓突出显示。
  4. (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。
  5. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。