Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database

Sie können die GitHub Advisory Database durchsuchen, um CVEs und GitHub-ursprünglichen Empfehlungen zu finden, die sich auf die Open Source-Welt auswirken.

Wer kann dieses Feature verwenden?

Alle Benutzenden können GitHub Advisory Database durchsuchen.

In diesem Artikel

Zugriff auf einen Hinweis in der GitHub Advisory Database

Du kannst auf jede Empfehlung in GitHub Advisory Database zugreifen.

  1. Navigieren Sie zu https://github.com/advisories.

  2. Um die Liste der Empfehlungen zu filtern, verwende optional das Suchfeld oder die Dropdownmenüs am Anfang der Liste.

    Hinweis

    Über die linke Randleiste können Sie die von GitHub überprüften und nicht überprüften Hinweise separat durchsuchen oder nach Ökosystem filtern.

  3. Klicke auf eine Empfehlung, um die Details zu sehen. Standardmäßig werden von GitHub überprüfte Empfehlungen zu Sicherheitsrisiken angezeigt. Verwenden Sie type:malware auf der Suchleiste, um Hinweise zu Schadsoftware anzuzeigen.

Die Datenbank ist auch über die GraphQL-API zugänglich. Standardmäßig geben Abfragen von GitHub überprüfte Hinweise zu Sicherheitsrisiken zurück, wenn Sie nicht type:malware angeben. Weitere Informationen findest du unter Webhook-Ereignisse und Webhook-Nutzlasten.

Darüber hinaus kannst du mithilfe der REST-API auf die GitHub Advisory Database zugreifen. Weitere Informationen finden Sie unter REST-API-Endpunkte für globale Sicherheitsempfehlungen.

Bearbeiten einer Empfehlung in GitHub Advisory Database

Du kannst für alle Empfehlungen in GitHub Advisory Database Verbesserungen vorschlagen. Weitere Informationen finden Sie unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Durchsuche die GitHub Advisory Database

Du kannst die Datenbank durchsuchen und die Suche mithilfe von Qualifizierern eingrenzen. Du kannst die Suche z. B. nach Empfehlungen eingrenzen, die an einem bestimmten Datum, in einem bestimmten Ökosystem oder in einer bestimmten Bibliothek erstellt wurden.

Die Datumsformatierung muss dem ISO8601-Standard entsprechen: YYYY-MM-DD (Jahr-Monat-Tag). Du kannst nach dem Datum auch optionale Zeitinformationen im Format THH:MM:SS+00:00 hinzufügen, um nach Stunde, Minute und Sekunde zu suchen. Das heißt, T, gefolgt von HH:MM:SS (Stunden-Minuten-Sekunden) und einem UTC-Offset (+00:00).

Wenn du nach einem Datum suchst, kannst du „größer als“, „kleiner als“ und Bereichsqualifizierer verwenden, um Ergebnisse weiter zu filtern. Weitere Informationen finden Sie unter Grundlagen der Suchsyntax.

QualifiziererExample
type:reviewed
          [
          `type:reviewed`
          ](https://github.com/advisories?query=type%3Areviewed) zeigt von GitHub überprüfte Empfehlungen für Sicherheitsrisiken an. |

| type:malware | type:malware zeigt Hinweise zu Schadsoftware an. | | type:unreviewed| type:unreviewed zeigt nicht überprüfte Hinweise an. | | GHSA-ID| GHSA-49wp-qq6x-g2rf zeigt den Hinweis mit dieser GitHub Advisory Database-ID an. | | CVE-ID| CVE-2020-28482 zeigt den Hinweis mit dieser CVE-ID an. | | ecosystem:ECOSYSTEM| ecosystem:npm zeigt ausschließlich Hinweise für npm-Pakete an. | | severity:LEVEL| severity:high zeigt ausschließlich Hinweise mit einem hohen Schweregrad an. | | affects:LIBRARY| affects:lodash zeigt ausschließlich Hinweise für die Bibliothek „lodash“ an. | | cwe:ID| cwe:352 zeigt ausschließlich Hinweise mit dieser CWE-Nummer an. | | credit:USERNAME| credit:octocat zeigt ausschließlich Hinweise an, die dem Benutzerkonto „octocat“ zugeschrieben werden. | | sort:created-asc| sort:created-asc sortiert die Hinweise so, dass die ältesten zuerst angezeigt werden. | | sort:created-desc| sort:created-desc sortiert die Hinweise so, dass die neuesten zuerst angezeigt werden. | | sort:updated-asc| sort:updated-asc sortiert die Hinweise so, dass die am längsten nicht aktualisierten zuerst angezeigt werden. | | sort:updated-desc| sort:updated-desc sortiert die Hinweise so, dass die kürzlich aktualisierten zuerst angezeigt werden. | | is:withdrawn| is:withdrawn zeigt ausschließlich Hinweise an, die zurückgezogen wurden. | | created:YYYY-MM-DD| created:2021-01-13 zeigt ausschließlich Hinweise an, die an diesem Datum erstellt wurden. | | updated:YYYY-MM-DD| updated:2021-01-13 zeigt ausschließlich Hinweise an, die an diesem Datum aktualisiert wurden. |

Ein GHSA-ID-Qualifizierer ist eine eindeutige ID, die wir bei GitHub automatisch jeder Empfehlung in der GitHub Advisory Database zuweisen. Weitere Informationen zu diesen Bezeichnern finden Sie unter Informationen zu GitHub Advisory Database.

Anzeigen von anfälligen Repositorys

Sie können für alle von GitHub überprüften Hinweise in GitHub Advisory Database diejenigen Repositorys anzeigen, die vom betreffenden Sicherheitsrisiko oder von der betreffenden Schadsoftware betroffen sind. Dafür benötigst du für dieses Repository Zugriff auf Dependabot alerts. Weitere Informationen finden Sie unter Informationen zu Dependabot-Warnungen.

  1. Navigieren Sie zu https://github.com/advisories.

  2. Klicke auf eine Empfehlung.

  3. Klicke oben auf der Seite der Empfehlung auf Dependabot-Warnungen.

           ![Screenshot eines „globalen Sicherheitshinweises“. Die Schaltfläche „Dependabot-Warnungen“ ist mit einer orangefarbenen Kontur hervorgehoben.](/assets/images/help/security/advisory-database-dependabot-alerts.png)

  4. Du kannst die Liste auch über die Suchleiste oder mit einem der Dropdownmenüs filtern. Über das Dropdownmenü „Organisation“ kannst du Dependabot alerts nach Besitzer (Organisation oder Benutzer*in) filtern.

  5. Klicke auf den Namen der Empfehlung, um weitere Informationen zum jeweiligen Sicherheitsrisiko sowie Ratschläge zu dessen Behebung anzuzeigen.