Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub

Вы можете просмотреть GitHub Advisory Database для поиска CVEs и GitHub, которые влияют на открытый код мире.

Кто может использовать эту функцию?

Любой пользователь может просматривать данные GitHub Advisory Database.

В этой статье

Доступ к рекомендации в GitHub Advisory Database

Вы можете получить доступ к любым советам в GitHub Advisory Database.

  1. Перейдите к https://github.com/advisories.

  2. При необходимости, чтобы отфильтровать список консультантов, используйте поле поиска или раскрывающееся меню в верхней части списка.

    Примечание.

    С помощью боковой панели слева можно изучить GitHub-рассмотренные и неосмотренные рекомендации отдельно или фильтровать по экосистеме.

  3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите рекомендации по уязвимостям системы безопасности, проверенные GitHub. Чтобы просмотреть рекомендации по вредоносным программам, укажите type:malware в строке поиска.

База данных также доступна с помощью API GraphQL. По умолчанию запросы возвращают проверенные в GitHub рекомендации по уязвимостям системы безопасности, если не указано type:malware. Дополнительные сведения см. в разделе AUTOTITLE.

Кроме того, доступ к данным GitHub Advisory Database можно получить с помощью REST API. Дополнительные сведения см. в разделе Конечные точки REST API для глобальных рекомендаций по безопасности.

Редактирование рекомендации в GitHub Advisory Database

Вы можете предложить улучшения для любой рекомендации в GitHub Advisory Database. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Поиск в GitHub Advisory Database

Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.

Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.

КвалификаторExample
type:reviewed
          [
          `type:reviewed`
          ](https://github.com/advisories?query=type%3Areviewed) будут отображаться рекомендации по GitHub- просмотре рекомендаций по уязвимостям системы безопасности. |

| type:malware | type:malware будут отображаться рекомендации по вредоносным программам. | | type:unreviewed| type:unreviewed будут отображаться неосмотренные рекомендации. | | GHSA-ID| GHSA-49wp-qq6x-g2rf отобразит рекомендации с этим идентификатором GitHub Advisory Database. | | CVE-ID| CVE-2020-28482 отобразит рекомендации с этим номером идентификатора CVE. | | ecosystem:ECOSYSTEM| ecosystem:npm отображаются только рекомендации, влияющие на пакеты npm. | | severity:LEVEL| severity:high будут отображаться только рекомендации с высоким уровнем серьезности. | | affects:LIBRARY| affects:lodash отображаются только рекомендации, влияющие на библиотеку lodash. | | cwe:ID| cwe:352 будут отображаться только рекомендации с этим номером CWE. | | credit:USERNAME| credit:octocat будут отображаться только помощники, кредитуемые учетной записью пользователя octocat. | | sort:created-asc| sort:created-asc сначала будет сортироваться по самым старым советникам. | | sort:created-desc| sort:created-desc сначала будет сортироваться по новым рекомендациям. | | sort:updated-asc| sort:updated-asc сначала будет сортироваться по наименее недавно обновленному. | | sort:updated-desc| sort:updated-desc сначала будет сортироваться по последнему обновлению. | | is:withdrawn| is:withdrawn отображаются только рекомендации, которые были отозваны. | | created:YYYY-MM-DD| created:2021-01-13 будут отображаться только рекомендации, созданные на этой дате. | | updated:YYYY-MM-DD| updated:2021-01-13 будут отображаться только рекомендации, обновленные на этой дате. |

Квалификатор GHSA-ID — это уникальный идентификатор, который мы автоматически назначаем GitHub каждому рекомендацию в GitHub Advisory Database. Дополнительные сведения об этих идентификаторах см. в разделе GitHub Advisory Database.

Просмотр ваших уязвимых репозиториев

Для любой проверенной в GitHub рекомендации в GitHub Advisory Database вы можете увидеть, какие из ваших репозиториев подвержены этой уязвимости или вредоносной программе. Чтобы увидеть уязвимый репозиторий, у вас должен быть доступ к Dependabot alerts для этого репозитория. Дополнительные сведения см. в разделе Сведения об оповещениях Dependabot.

  1. Перейдите к https://github.com/advisories.

  2. Щелкните рекомендацию.

  3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot.

           ![Снимок экрана: "Рекомендации по глобальной безопасности". Кнопка "Оповещения Dependabot" выделена оранжевым контуром.](/assets/images/help/security/advisory-database-dependabot-alerts.png)

  4. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. Раскрывающееся меню "Организация" позволяет фильтровать Dependabot alerts для каждого владельца (организации или пользователя).

  5. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.