浏览 GitHub Advisory Database 中的安全漏洞
GitHub Advisory Database 允许您浏览或搜索影响 GitHub 上开源项目的漏洞。
关于安全漏洞
漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。漏洞的类型,严重性和攻击方法各不相同。
如果我们检测到GitHub咨询数据库中的任何漏洞影响了您的存储库所依赖的软件包,则GitHub将向您发送GitHub Dependabot警报。更多信息请参阅“关于易受攻击的依赖项的警报”。
关于 GitHub Advisory Database
GitHub Advisory Database 包含已映射到 GitHub 依赖关系图跟踪的软件包的安全漏洞列表。我们从以下来源向 GitHub Advisory Database 添加漏洞:
- 国家漏洞数据库
- 机器学习和人工审查结合检测 GitHub 上公共提交中的漏洞
- 在GitHub上报告的安全公告
- FriendsOfPHP
每个安全通报都包含有关漏洞的信息,包括描述,严重性,受影响的程序包,程序包生态系统,受影响的版本和修补的版本,影响以及可选信息,例如参考,解决方法和信用。此外,国家漏洞数据库列表中的公告包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 更多信息请参阅国家标准和技术研究所 (National Institute of Standards and Technology) 的“国家漏洞数据库”。
我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:
- 低
- 中
- 高
- 关键
GitHub咨询数据库使用上述的CVSS 3.0版标准和CVSS级别。GitHub不会发布CVSS分数。
您也可以加入 GitHub Security Lab,以便浏览安全主题并参与安全工具和项目。
访问 GitHub Advisory Database 中的通告
- (可选)要过滤列表,请使用任何下拉菜单。
- 单击任何通告以查看详情。
也可以使用 GraphQL API 访问数据库。 更多信息请参阅“
security_advisoryweb 挂钩事件”。
搜索 GitHub Advisory Database
您可以搜索数据库,并使用限定符将搜索范围缩小到在特定日期、特定生态系统或特定库中创建的公告。
日期格式必须遵循 ISO8601标准,即 YYYY-MM-DD(年-月-日)。 您也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。 这是 T,随后是 HH:MM:SS(时-分-秒)和 UTC 偏移 (+00:00)。
日期支持大于、小于和范围限定符。
| 限定符 | 示例 |
|---|---|
ecosystem:ECOSYSTEM |
ecosystem:npm 只显示影响 NPM 包的通告。 |
severity:LEVEL |
severity:high 只显示严重程度高的公告。 |
affects:LIBRARY |
affects:lodash 只显示影响 lodash 库的通告。 |
sort:created-asc |
sort:created-asc 按照时间顺序对通告排序,最早的通告排在最前面。 |
sort:created-desc |
sort:created-desc 按照时间顺序对通告排序,最新的通告排在最前面。 |
sort:updated-asc |
sort:updated-asc 按照更新顺序排序,最早更新的排在最前面。 |
sort:updated-desc |
sort:updated-desc 按照更新顺序排序,最近更新的排在最前面。 |
is:withdrawn |
is:withdrawn 只显示已经撤销的通告。 |
created:YYYY-MM-DD |
created:2019-10-31 只显示此日期创建的通告。 |
updated:YYYY-MM-DD |
updated:2019-10-31 只显示此日期更新的通告。 |
延伸阅读
- MITRE 的“漏洞”定义