GitHub Advisory Database에서 보안 권고 탐색

GitHub Advisory Database에서 오픈 소스 생태계에 영향을 미치는 CVE 및 GitHub에서 발행된 보안 권고를 찾아볼 수 있습니다.

누가 이 기능을 사용할 수 있나요?

누구나 GitHub Advisory Database를 탐색할 수 있습니다.

이 문서의 내용

GitHub Advisory Database의 권고에 액세스

GitHub Advisory Database에서 권고로 액세스할 수 있습니다.

  1.        https://github.com/advisories으로 이동합니다.

  2. 아니면, 목록 최상단 검색 필드 또는 드롭다운 메뉴를 이용해 권고 목록을 필터링할 수도 있습니다.

    참고 항목

    좌측 사이드바를 사용하여 GitHub에서 검토한 권고나 검토하지 않은 권고를 확인하거나 생태계별로 필터링할 수 있습니다.

  3. 세부 정보를 보려면 권고를 클릭합니다. 기본적으로 GitHub에서 검토한 보안 취약성 권고가 표시됩니다. 맬웨어 권고를 표시하려면 검색 창에서 type:malware를 사용합니다.

또한 GraphQL API를 사용하여 데이터베이스에 액세스할 수도 있습니다. 기본적으로 쿼리는 type:malware를 지정하지 않는 한 GitHub에서 검토한 보안 취약성 권고를 반환합니다. 자세한 내용은 웹후크 이벤트 및 페이로드을 참조하세요.

또한, REST API를 이용해 GitHub Advisory Database로 액세스할 수 있습니다. 자세한 내용은 글로벌 보안 권고에 대한 REST API 엔드포인트을(를) 참조하세요.

GitHub Advisory Database의 권고 편집

GitHub Advisory Database의 권고에 대한 개선 사항을 제안할 수 있습니다. 자세한 내용은 GitHub Advisory Database에서 보안 권고 편집을(를) 참조하세요.

GitHub Advisory Database 검색

데이터베이스를 검색하고 한정자를 사용하여 검색 범위를 좁힐 수 있습니다. 예를 들어 특정 날짜, 특정 에코시스템 또는 특정 라이브러리에서 만든 권고를 검색할 수 있습니다.

날짜 형식은 ISO8601 표준인 YYYY-MM-DD(년-월-일)를 따라야 합니다. 날짜 뒤에 선택적 시간 정보 THH:MM:SS+00:00을 추가하여 시, 분, 초로 검색할 수도 있습니다. 이것은 T이며 그 다음은 HH:MM:SS(시-분-초)와 UTC 오프셋(+00:00)입니다.

날짜를 검색할 때 보다 큼, 보다 작음, 범위 한정자를 사용하여 결과를 추가로 필터링할 수 있습니다. 자세한 내용은 검색 구문 이해을(를) 참조하세요.

한정자예시
type:reviewed type:reviewed 는 GitHub에서 검토한 보안 취약성 권고를 표시합니다.
type:malware type:malware 는 맬웨어 권고를 표시합니다.
type:unreviewed type:unreviewed 는 검토하지 않은 권고를 표시합니다.
GHSA-ID GHSA-49wp-qq6x-g2rf 는 이러한 GitHub Advisory Database ID가 포함된 권고를 표시합니다.
CVE-ID CVE-2020-28482 는 이러한 CVE ID 번호가 있는 권고를 표시합니다.
ecosystem:ECOSYSTEM ecosystem:npm 은 npm 패키지에 영향을 미치는 권고만 표시합니다.
severity:LEVEL severity:high 는 심각도 수준이 높은 권고만 표시합니다.
affects:LIBRARY affects:lodash 는 lodash 라이브러리에 영향을 미치는 권고만 표시합니다.
cwe:ID cwe:352 는 해당 CWE 번호가 포함된 권고만 표시합니다.
credit:USERNAME credit:octocat 은 "octocat" 사용자 계정이 크레딧으로 지정된 권고만 표시합니다.
sort:created-asc sort:created-asc 는 권고를 오래된 순으로 정렬합니다.
sort:created-desc sort:created-desc 는 권고를 최신 순으로 정렬합니다.
sort:updated-asc sort:updated-asc 는 오래된 업데이트순으로 정렬합니다.
sort:updated-desc sort:updated-desc 는 최신 업데이트순으로 정렬합니다.
is:withdrawn is:withdrawn 은 철회된 권고만 표시합니다.
created:YYYY-MM-DD created:2021-01-13 은 해당일에 생성된 권고만 표시합니다.
updated:YYYY-MM-DD updated:2021-01-13 은 해당일에 업데이트된 권고만 표시합니다.

GHSA-ID 한정자는 GitHub에서 GitHub의 각 보안 권고에 자동으로 할당하는 고유 식별자입니다. 이러한 식별자에 대한 자세한 내용은 GitHub Advisory Database 정보를 참조합니다.

취약한 리포지토리 보기

GitHub Advisory Database의 GitHub에서 검토한 권고의 경우 해당 보안 취약성 또는 맬웨어의 영향을 받는 리포지토리를 확인할 수 있습니다. 취약한 리포지토리를 보려면 해당 리포지토리에 대한 Dependabot alerts에 액세스할 수 있어야 합니다. 자세한 내용은 Dependabot 경고 정보을(를) 참조하세요.

  1.        https://github.com/advisories으로 이동합니다.
  2. 권고를 클릭합니다.
  3. 권고 페이지의 맨 위에서 Dependabot 경고를 클릭합니다.
    "전역적 보안 권고" 스크린샷. "Dependabot 경고" 버튼은 주황색 테두리로 강조 표시됩니다.
  4. 필요에 따라 목록을 필터링하려면 검색 창 또는 드롭다운 메뉴를 사용합니다. "조직" 드롭다운 메뉴를 사용하면 소유자(조직 또는 사용자)를 기준으로 Dependabot alerts를 필터링할 수 있습니다.
  5. 권고에 대한 자세한 내용과 취약한 리포지토리를 해결하는 방법에 대한 조언을 보려면 리포지토리 이름을 클릭합니다.