访问 GitHub Advisory Database 中的通告
可以访问 GitHub Advisory Database 中的任何公告。
-
(可选)若要筛选公告列表,请使用搜索字段或列表顶部的下拉菜单。
注意:可以使用左侧边栏分别浏览 GitHub 已审核和未审核的公告,或按生态系统进行筛选。
-
单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。 若要显示恶意软件公告,请在搜索栏中使用
type:malware
。
也可以使用 GraphQL API 访问数据库。 默认情况下,查询将返回经过 GitHub 审核的安全漏洞公告,除非指定 type:malware
。 有关详细信息,请参阅“Webhook 事件和有效负载”。
在 GitHub Advisory Database 中编辑公告
您可以对 GitHub Advisory Database 中的任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。
搜索 GitHub Advisory Database
您可以搜索数据库,并使用限定符缩小搜索范围。 例如,您可以搜索在特定日期、特定生态系统或特定库中创建的通告。
日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD
(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00
,以按小时、分钟和秒进行搜索。 即 T
,随后是 HH:MM:SS
(时-分-秒)和 UTC 时差 (+00:00
)。
搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。
限定符 | 示例 |
---|---|
type:reviewed | type:reviewed 将显示经 GitHub 审核的安全漏洞公告。 |
type:malware | type:malware 将显示恶意软件公告。**** |
type:unreviewed | type:unreviewed 显示未审核的公告。 |
GHSA-ID | GHSA-49wp-qq6x-g2rf 显示包含此 GitHub Advisory Database ID 的公告。 |
CVE-ID | CVE-2020-28482 显示具有此 CVE ID 编号的公告。 |
ecosystem:ECOSYSTEM | ecosystem:npm 仅显示影响 npm 包的公告。 |
severity:LEVEL | severity:high 仅显示具有较高严重性级别的公告。 |
affects:LIBRARY | affects:lodash 仅显示影响 lodash 库的公告。 |
cwe:ID | cwe:352 仅显示具有此 CWE 编号的公告。 |
credit:USERNAME | credit:octocat 仅显示属于“octocat”用户帐户的公告。 |
sort:created-asc | sort:created-asc 按最旧的公告在前的顺序进行排序。 |
sort:created-desc | sort:created-desc 按最新的公告在前的顺序进行排序。 |
sort:updated-asc | sort:updated-asc 按更新时间由远及近的顺序排序。 |
sort:updated-desc | sort:updated-desc 按更新时间由近及远的顺序排序。 |
is:withdrawn | is:withdrawn 仅显示已撤回的公告。 |
created:YYYY-MM-DD | created:2021-01-13 仅显示在此日期创建的公告。 |
updated:YYYY-MM-DD | updated:2021-01-13 仅显示在此日期更新的公告。 |
GHSA-ID
限定符是 GitHub 自动分配给 GitHub Advisory Database 中的每个公告的唯一 ID。 关于这些标识符的详细信息,请参阅“关于 GitHub Advisory Database”。
查看有漏洞的仓库
对于 GitHub Advisory Database 中任何经 GitHub 审核的公告,都可以查看哪些存储库受到该安全漏洞或恶意软件的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
- 导航到 https://github.com/advisories。
- 单击通告。
- 在公告页面顶部,单击“Dependabot 警报”。
- (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。
- 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。
访问 GitHub Enterprise Server
上的本地公告数据库
如果站点管理员已为实例启用了 GitHub Connect,则还可以在本地浏览已审核的公告。 有关详细信息,请参阅“关于 GitHub Connect”。
可使用本地公告数据库来检查是否包含特定的安全漏洞,从而检查是否会收到有关易受攻击的依赖项的警报。 还可以查看任何易受攻击的存储库。
-
导航到
https://HOSTNAME/advisories
。 -
(可选)要过滤列表,请使用任意下拉菜单。
注意:只会列出已审核的公告。 可以在 GitHub.com 上的 GitHub Advisory Database 中查看未审核的公告。 有关详细信息,请参阅“访问 GitHub 公告数据库中的公告”。
-
单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。 若要显示恶意软件公告,请在搜索栏中使用
type:malware
。
还可以直接从本地公告数据库中对任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。
查看实例的易受攻击存储库
企业所有者必须对你的 GitHub Enterprise Server 实例启用Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。
在本地公告数据库中,可以看到哪些存储库受到每个安全漏洞或恶意软件的影响。 要查看有漏洞的仓库,您必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
- 导航到
https://HOSTNAME/advisories
。 - 单击通告。
- 在公告页面顶部,单击“Dependabot 警报”。
- (可选)要过滤列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)过滤 Dependabot alerts。
- 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。