Enterprise Server 3.21 est actuellement disponible en tant que version candidate.

À propos de la base de données GitHub Advisory

Le GitHub Advisory Database contient une liste des vulnérabilités de sécurité connues et des logiciels malveillants, regroupés en trois catégories : GitHubavis examinés, avis non examinés et avis de logiciels malveillants.

Dans cet article

À propos de GitHub Advisory Database

Nous ajoutons des conseils à la GitHub Advisory Database à partir des sources suivantes :

Si vous connaissez une autre base de données à partir de laquelle nous devrions importer des avis, dites-le nous en ouvrant un problème dans https://github.com/github/advisory-database.

Les avis de sécurité sont publiés sous forme de fichiers JSON au format OSV (Open Source Vulnerability). Pour plus d’informations sur le format OSV, consultez « Format Open Source Vulnerability ».

Types d’avis de sécurité

Chaque avis dans le GitHub Advisory Database est destiné à une vulnérabilité dans les projets open source ou pour des logiciels open source malveillants.

          Une vulnérabilité est un problème dans le code d’un projet qui pourrait être exploité pour altérer la confidentialité, l’intégrité ou la disponibilité du projet ou d’autres projets qui utilisent son code. Les vulnérabilités varient en fonction du type, de la gravité et de la méthode d’attaque. Les vulnérabilités dans le code sont généralement introduites par accident et corrigées peu après leur découverte. Vous devez mettre à jour votre code pour utiliser la version corrigée de la dépendance dès qu'elle est disponible.

En revanche, les logiciels malveillants ou les programmes malveillants sont du code qui est intentionnellement conçu pour exécuter des fonctions indésirables ou dangereuses. Les programmes malveillants peuvent cibler du matériel, des logiciels, des données confidentielles ou des utilisateurs d'une application qui les utilise. Vous devez supprimer les programmes malveillants de votre projet et trouver une alternative plus sécurisée pour la dépendance.

GitHub-recommandations examinées

** GitHub-les avis examinés** sont associés aux paquets au sein des écosystèmes que nous soutenons. Nous examinons soigneusement chaque avis pour la validité et nous nous assurons qu’ils contiennent une description complète et des informations sur l’écosystème et les packages.

En règle générale, nous nommons nos écosystèmes pris en charge d'après le registre de packages associé du langage de programmation logicielle. Nous examinons les avis s'ils concernent une vulnérabilité dans un package provenant d'un registre pris en charge.

Si vous avez une suggestion pour un nouvel écosystème que nous devrions prendre en charge, ouvrez un problème pour en discuter.

Si vous activez Dependabot alerts pour vos référentiels, vous êtes automatiquement averti lorsqu’un nouveau conseil examiné par GitHub signale une vulnérabilité d’un package sur lequel vous vous appuyez. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

Avis non révisés

Les avis non révisés sont publiés automatiquement dans le GitHub Advisory Database, directement à partir du flux de la National Vulnerability Database.

          Dependabot ne crée pas de Dependabot alerts pour les avis non examinés, car ce type d'avis n’est pas vérifié quant à leur validité ou leur achèvement.

Avertissements sur les programmes malveillants

Les avis sur les programmes malveillants concernent les vulnérabilités causées par les programmes malveillants et sont exclusifs à l’écosystème npm. Nous les publions automatiquement dans le GitHub Advisory Databasefichier , directement à partir des informations fournies par l’équipe de sécurité npm.

          Dependabot ne génère pas d’alertes lorsque des programmes malveillants sont détectés, car la plupart des vulnérabilités ne peuvent pas être résolues par les utilisateurs en aval. Vous pouvez afficher les avis sur les programmes malveillants en recherchant `type:malware` dans le GitHub Advisory Database.

Nos avertissements sur les programmes malveillants portent principalement sur les attaques par substitution. Dans ce type d'attaque, un attaquant publie dans le registre public un package portant le même nom qu'une dépendance d'un tiers ou d'un registre privé sur laquelle les utilisateurs comptent, dans l'espoir que la version malveillante soit consommée. Dependabot n’examine pas les configurations de projet pour déterminer si les packages proviennent d’un registre privé. Nous ne sommes donc pas sûrs que vous utilisez la version malveillante ou une version non malveillante. Les utilisateurs dont les dépendances sont correctement délimitées ne devraient pas être affectés par les programmes malveillants.

Informations dans les avis de sécurité

Dans cette section, vous trouverez des informations plus détaillées sur des attributs de données spécifiques du GitHub Advisory Database.

Identifiants GHSA

Chaque avis de sécurité, quel que soit son type, a un identificateur unique appelé ID GHSA. Un GHSA-ID qualificateur est attribué lorsqu'un nouveau conseil est créé sur GitHub ou ajouté au GitHub Advisory Database à partir de l'une des sources prises en charge.

La syntaxe des ID GHSA suit ce format : GHSA-xxxx-xxxx-xxxx, où :

  • x est une lettre ou un chiffre de l'ensemble suivant : 23456789cfghjmpqrvwx.
  • En dehors de la partie GHSA du nom :
    • Les chiffres et les lettres sont attribués de manière aléatoire.
    • Toutes les lettres sont en minuscules.

Vous pouvez vérifier un ID GHSA avec une expression régulière.

Bash
/GHSA(-[23456789cfghjmpqrvwx]{4}){3}/

Niveaux CVSS

Le GitHub Advisory Database prend en charge CVSS version 3.1 et CVSS version 4.0.

Chaque avis de sécurité contient des informations sur la vulnérabilité ou le programme malveillant, qui peuvent inclure la description, la gravité, le package affecté, l’écosystème de package, les versions affectées et les versions corrigées, l’impact ainsi que des informations facultatives telles que les références, les solutions de contournement et les crédits. En outre, les avis de la liste de la National Vulnerability Database contiennent un lien vers l'enregistrement CVE, où vous pouvez lire plus d'informations sur la vulnérabilité, ses scores CVSS et son niveau de gravité qualitative. Pour plus d’informations, consultez la « National Vulnerability Database » du National Institute of Standards and Technology.

Le niveau de gravité est l’un des quatre niveaux possibles définis dans la section 5  du CVSS (Common Vulnerability Scoring System).

  • Low

  • Moyen/modéré

  • High

  • Essentiel

            GitHub Advisory Database utilise les niveaux CVSS décrits ci-dessus. Si GitHub obtient une CVE, le GitHub Advisory Database utilise la version CVSS attribuée par le mainteneur, qui peut être la version 3.1 ou 4.0. Si la CVE est importée, la GitHub Advisory Database version CVSS prend en charge les versions 4.0, 3.1 et 3.0.

Vous pouvez également rejoindre GitHub Security Lab pour parcourir les rubriques liées à la sécurité et contribuer aux outils et projets de sécurité.

Scores EPSS

Le système de scoring de prédiction d’exploit, ou EPSS (Exploit Prediction Scoring System), est un système conçu par le Forum mondial des équipes de réponse aux incidents et de sécurité (FIRST, Forum of Incident Response and Security Teams) pour quantifier la probabilité d’exploitation des vulnérabilités. Ce modèle attribue un score de probabilité compris entre 0 et 1 (0 et 100 %) : plus le score est élevé, plus la probabilité d’exploitation d’une vulnérabilité sera élevée. Pour plus d’informations sur FIRST, consultez https://www.first.org/.

Le GitHub Advisory Database inclut les scores EPSS de FIRST pour les bulletins contenant des CVE avec les données EPSS correspondantes. GitHub affiche également le centile de score EPSS, qui est la proportion de toutes les vulnérabilités notées avec le même score ou un score EPSS inférieur.

Par exemple, si un avertissement avait un score EPSS avec un pourcentage de 90,534 % au 95e centile, selon le modèle EPSS, cela signifie que :

  • Il y a une probabilité de 90,534 % que cette vulnérabilité soit exploitée dans la nature au cours des 30 prochains jours.
  • 95 % du total des vulnérabilités modélisées sont considérées comme moins susceptibles d’être exploitées au cours des 30 prochains jours que cette vulnérabilité.

Des informations étendues sur l’interprétation de ces données sont disponibles dans le Guide de l’utilisateur EPSS de FIRST. Ces informations vous aident à comprendre comment le pourcentage et le centile peuvent être utilisés pour interpréter la probabilité qu’une vulnérabilité soit exploitée dans la nature en fonction du modèle de FIRST. Pour plus d’informations, consultez le Guide de l’utilisateur EPSS de FIRST sur le site web de FIRST.

FIRST fournit également des informations supplémentaires sur la distribution de leurs données EPSS. Pour plus d’informations, consultez la Documentation sur les données et les statistiques EPSS sur le site web de FIRST.

Remarque

GitHub conserve les données EPSS à jour avec une action de synchronisation quotidienne. Bien que les pourcentages de score EPSS soient toujours entièrement synchronisés, les centiles de score ne sont mis à jour que lorsqu’ils sont significativement différents.

À GitHub, nous ne créons pas ces données, mais nous les puisons plutôt de FIRST, ce qui signifie que les contributions de la communauté ne peuvent pas modifier ces données. Pour plus d’informations sur les contributions communautaires, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

Contributions communautaires

Une contribution communautaire est une demande de tirage soumise au référentiel github/advisory-database qui améliore le contenu d’un avis de sécurité global. Lorsque vous apportez une contribution communautaire, vous pouvez modifier ou ajouter des détails, y compris des écosystèmes affectés supplémentaires, le niveau de gravité ou la description de qui est affecté. L'équipe GitHub Security Lab de curation va examiner les contributions soumises et les publier sur le GitHub Advisory Database si elles sont acceptées.

Lectures complémentaires