codecamp

浏览 GitHub Advisory Database 中的安全漏洞

GitHub Advisory Database 允许您浏览或搜索影响 GitHub 上开源项目的漏洞。

关于安全漏洞

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。漏洞的类型,严重性和攻击方法各不相同。

如果我们检测到GitHub咨询数据库中的任何漏洞影响了您的存储库所依赖的软件包,则GitHub将向您发送GitHub Dependabot警报。更多信息请参阅“关于易受攻击的依赖项的警报”。

关于 GitHub Advisory Database

GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。我们从以下来源向 GitHub Advisory Database 添加漏洞:

每个安全通报都包含有关漏洞的信息,包括描述,严重性,受影响的程序包,程序包生态系统,受影响的版本和修补的版本,影响以及可选信息,例如参考,解决方法和信用。此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。

我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:

  • 关键

GitHub咨询数据库使用上述的CVSS 3.0版标准和CVSS级别。GitHub不会发布CVSS分数。

您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。

访问 GitHub Advisory Database 中的通告

  1. 导航到 https://github.com/advisories

  1. (可选)要过滤列表,请使用任何下拉菜单。

下拉过滤器

  1. 单击任何通告以查看详情。

也可以使用 GraphQL API 访问数据库。 更多信息请参阅“security_advisory web 挂钩事件”。

搜索 GitHub Advisory Database

您可以搜索数据库,并使用限定符将搜索范围缩小到在特定日期、特定生态系统或特定库中创建的公告。

日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。

日期支持大于、小于和范围限定符

限定符 示例
ecosystem:ECOSYSTEM ecosystem:npm 只显示影响 NPM 包的通告。
severity:LEVEL severity:high 只显示严重程度高的公告。
affects:LIBRARY affects:lodash 只显示影响 lodash 库的通告。
sort:created-asc sort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。
sort:created-desc sort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。
sort:updated-asc sort:updated-asc 按照更新顺序排序,最早更新的排在最前面。
sort:updated-desc sort:updated-desc 按照更新顺序排序,最近更新的排在最前面。
is:withdrawn is:withdrawn 只显示已经撤销的通告。
created:YYYY-MM-DD created:2019-10-31 只显示此日期创建的通告。
updated:YYYY-MM-DD updated:2019-10-31 只显示此日期更新的通告。

延伸阅读

GitHub 撤销安全通告
GitHub 关于易受攻击的依赖项的警报
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

GitHub 身份验证

在 GitHub 上管理订阅和通知

在 GitHub 上管理活动的订阅

GitHub 组织和团队

GitHub 管理对组织仓库的 Git 访问

GitHub 计费和付款

GitHub 使用议题和拉取请求进行协作

GitHub 在具有代码质量功能的仓库上进行协作

管理在 GitHub 上的工作

GitHub 建立强大的社区

GitHub 管理仓库

GitHub 自定义 GitHub 工作流程

在 GitHub Marketplace 中购买并安装应用程序

通过 GitHub Jobs 寻找人才

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }