关于全局安全公告
有两种类型的公告:全局安全公告和存储库安全公告。 有关存储库安全公告的详细信息,请参阅“关于存储库安全公告”。
全球安全公告分为以下类别:经 GitHub 审核的公告、未审核的公告和恶意软件公告。
- 经 GitHub 审核的公告是已映射到支持的生态系统中的包的安全漏洞或恶意软件。 仔细查看每个公告的有效性,并确保它们具有完整的说明,以及包含生态系统和包信息。
- 未审核的公告是我们直接从国家漏洞数据库源自动发布到 GitHub Advisory Database 的安全漏洞。
- 恶意软件公告与恶意软件造成的漏洞有关,并且是 GitHub 直接从 npm 安全团队提供的信息自动发布到 GitHub Advisory Database 的安全公告。 恶意软件公告仅适用于 npm 生态系统。 GitHub 不对这些建议进行编辑或接受社区贡献。
注意:****Dependabot 不会为未经检查的公告和恶意软件公告生成 Dependabot alerts。
有关 GitHub Advisory Database 的详细信息,请参阅“关于 GitHub 公告数据库”。
位于 github.com/advisories 的 GitHub Advisory Database 中的安全公告被视为全局公告。 任何人都可以对 GitHub Advisory Database 中的任何全局安全公告提出改进建议。 可以编辑或添加任何详细信息,包括其他受影响的生态系统、严重性级别或受影响方的说明。 GitHub Security Lab 策展团队将评审提交的改进,并在接受后将其发布到 GitHub Advisory Database 上。
每个存储库公告都由 GitHub Security Lab 策展团队负责审核,作为全局公告纳入考虑范围。 我们在 github.com/advantores 上的 GitHub Advisory Database 发布任何由依赖关系图支持的生态系统的安全公告。
可以访问 GitHub Advisory Database 中的任何公告。 有关详细信息,请参阅“在 GitHub Advisory Database 中浏览安全公告”。
您可以对 GitHub Advisory Database 中的任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。