GitHub Advisory Database에서 보안 권고 탐색

GitHub Advisory Database에서 오픈 소스 생태계에 영향을 미치는 CVE 및 GitHub에서 발행된 보안 권고를 찾아볼 수 있습니다.

누가 이 기능을 사용할 수 있나요?

누구나 GitHub Advisory Database를 탐색할 수 있습니다.

이 기사에서

GitHub Advisory Database의 권고에 액세스

GitHub Advisory Database에서 권고로 액세스할 수 있습니다.

  1.        [
       https://github.com/advisories
       ](https://github.com/advisories?ref_product=security-advisories&ref_type=engagement&ref_style=text)으로 이동합니다.

  2. 아니면, 목록 최상단 검색 필드 또는 드롭다운 메뉴를 이용해 권고 목록을 필터링할 수도 있습니다.

    참고

    좌측 사이드바를 사용하여 GitHub에서 검토한 권고나 검토하지 않은 권고를 확인하거나 생태계별로 필터링할 수 있습니다.

  3. 세부 정보를 보려면 권고를 클릭합니다. 기본적으로 GitHub에서 검토한 보안 취약성 권고가 표시됩니다. 맬웨어 권고를 표시하려면 검색 창에서 type:malware를 사용합니다.

또한 GraphQL API를 사용하여 데이터베이스에 액세스할 수도 있습니다. 기본적으로 쿼리는 type:malware를 지정하지 않는 한 GitHub에서 검토한 보안 취약성 권고를 반환합니다. 자세한 내용은 웹후크 이벤트 및 페이로드을 참조하세요.

또한, REST API를 이용해 GitHub Advisory Database로 액세스할 수 있습니다. 자세한 내용은 글로벌 보안 권고에 대한 REST API 엔드포인트을(를) 참조하세요.

GitHub Advisory Database의 권고 편집

GitHub Advisory Database의 권고에 대한 개선 사항을 제안할 수 있습니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 편집을(를) 참조하세요.

GitHub Advisory Database 검색

데이터베이스를 검색하고 한정자를 사용하여 검색 범위를 좁힐 수 있습니다. 예를 들어 특정 날짜, 특정 에코시스템 또는 특정 라이브러리에서 만든 권고를 검색할 수 있습니다.

날짜 형식은 ISO8601 표준인 YYYY-MM-DD(년-월-일)를 따라야 합니다. 날짜 뒤에 선택적 시간 정보 THH:MM:SS+00:00을 추가하여 시, 분, 초로 검색할 수도 있습니다. 이것은 T이며 그 다음은 HH:MM:SS(시-분-초)와 UTC 오프셋(+00:00)입니다.

날짜를 검색할 때 보다 큼, 보다 작음, 범위 한정자를 사용하여 결과를 추가로 필터링할 수 있습니다. 자세한 내용은 검색 구문 이해을(를) 참조하세요.

한정자예시
type:reviewed
          [
          `type:reviewed`
          ](https://github.com/advisories?query=type%3Areviewed)는 GitHub에서 검토한 보안 취약성 권고를 표시합니다. |

| type:malware | type:malware 는 맬웨어 권고를 표시합니다. | | type:unreviewed| type:unreviewed 는 검토하지 않은 권고를 표시합니다. | | GHSA-ID| GHSA-49wp-qq6x-g2rf 는 이러한 GitHub Advisory Database ID가 포함된 권고를 표시합니다. | | CVE-ID| CVE-2020-28482 는 이러한 CVE ID 번호가 있는 권고를 표시합니다. | | ecosystem:ECOSYSTEM| ecosystem:npm 은 npm 패키지에 영향을 미치는 권고만 표시합니다. | | severity:LEVEL| severity:high 는 심각도 수준이 높은 권고만 표시합니다. | | affects:LIBRARY| affects:lodash 는 lodash 라이브러리에 영향을 미치는 권고만 표시합니다. | | cwe:ID| cwe:352 는 해당 CWE 번호가 포함된 권고만 표시합니다. | | credit:USERNAME| credit:octocat 은 "octocat" 사용자 계정이 크레딧으로 지정된 권고만 표시합니다. | | sort:created-asc| sort:created-asc 는 권고를 오래된 순으로 정렬합니다. | | sort:created-desc| sort:created-desc 는 권고를 최신 순으로 정렬합니다. | | sort:updated-asc| sort:updated-asc 는 오래된 업데이트순으로 정렬합니다. | | sort:updated-desc| sort:updated-desc 는 최신 업데이트순으로 정렬합니다. | | is:withdrawn| is:withdrawn 은 철회된 권고만 표시합니다. | | created:YYYY-MM-DD| created:2021-01-13 은 해당일에 생성된 권고만 표시합니다. | | updated:YYYY-MM-DD| updated:2021-01-13 은 해당일에 업데이트된 권고만 표시합니다. |

          `GHSA-ID` 한정자는 GitHub에서 GitHub의 각 보안 권고에 자동으로 할당하는 고유 식별자입니다. 이러한 식별자에 대한 자세한 내용은 [GitHub Advisory Database 정보](/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database#about-ghsa-ids)를 참조합니다.

취약한 리포지토리 보기

GitHub Advisory Database의 GitHub에서 검토한 권고의 경우 해당 보안 취약성 또는 맬웨어의 영향을 받는 리포지토리를 확인할 수 있습니다. 취약한 리포지토리를 보려면 해당 리포지토리에 대한 Dependabot alerts에 액세스할 수 있어야 합니다. 자세한 내용은 Dependabot 경고 정보을(를) 참조하세요.

  1.        [
       https://github.com/advisories
       ](https://github.com/advisories?ref_product=security-advisories&ref_type=engagement&ref_style=text)으로 이동합니다.

  2. 권고를 클릭합니다.

  3. 권고 페이지의 맨 위에서 Dependabot 경고를 클릭합니다.

           !["전역적 보안 권고" 스크린샷. "Dependabot 경고" 버튼은 주황색 테두리로 강조 표시됩니다.](/assets/images/help/security/advisory-database-dependabot-alerts.png)

  4. 필요에 따라 목록을 필터링하려면 검색 창 또는 드롭다운 메뉴를 사용합니다. "조직" 드롭다운 메뉴를 사용하면 소유자(조직 또는 사용자)를 기준으로 Dependabot alerts를 필터링할 수 있습니다.

  5. 권고에 대한 자세한 내용과 취약한 리포지토리를 해결하는 방법에 대한 조언을 보려면 리포지토리 이름을 클릭합니다.