Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub

Доступ к уведомлению в GitHub Advisory Database

Вы можете получить доступ к любому совету в GitHub Advisory Database.

1. Перейдите к https://github.com/advisories.

2. При необходимости, чтобы отфильтровать список консультантов, используйте поле поиска или раскрывающееся меню в верхней части списка.

   Примечание.

   Вы можете использовать боковую панель слева, чтобы отдельно изучать GitHubпроверенные и непроверенные советы, либо фильтровать по экосистеме.

3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите GitHubпроверенные предупреждения по уязвимостям безопасности. Чтобы просмотреть рекомендации по вредоносным программам, укажите type:malware в строке поиска.

База данных также доступна с помощью API GraphQL. По умолчанию запросы будут возвращать GitHub-reviewed advisories по уязвимостям безопасности, если вы не указали type:malware. Дополнительные сведения см. в разделе AUTOTITLE.

Кроме того, вы можете получить доступ через GitHub Advisory Database REST API. Дополнительные сведения см. в разделе Конечные точки REST API для глобальных рекомендаций по безопасности.

Редактирование уведомления в GitHub Advisory Database

Вы можете предложить улучшения любых рекомендаций в GitHub Advisory Database. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Поиск GitHub Advisory Database

Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.

Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.

Квалификатор	Example
type:reviewed
[
type:reviewed
](https://github.com/advisories?query=type%3Areviewed) покажет GitHubпроверенные предупреждения по уязвимостям безопасности.
type:malware
[
type:malware
](https://github.com/advisories?query=type%3Amalware) будут отображаться рекомендации по вредоносным программам.
type:unreviewed
[
type:unreviewed
](https://github.com/advisories?query=type%3Aunreviewed) будут отображаться неосмотренные рекомендации.
GHSA-ID
[
GHSA-49wp-qq6x-g2rf
](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) покажет уведомление с этим GitHub Advisory Database идентификатором.
CVE-ID
[
CVE-2020-28482
](https://github.com/advisories?query=CVE-2020-28482) отобразит рекомендации с этим номером идентификатора CVE.
ecosystem:ECOSYSTEM
[
ecosystem:npm
](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) отображаются только рекомендации, влияющие на пакеты npm.
severity:LEVEL
[
severity:high
](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) будут отображаться только рекомендации с высоким уровнем серьезности.
affects:LIBRARY
[
affects:lodash
](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) отображаются только рекомендации, влияющие на библиотеку lodash.
cwe:ID
[
cwe:352
](https://github.com/advisories?query=cwe%3A352) будут отображаться только рекомендации с этим номером CWE.
credit:USERNAME
[
credit:octocat
](https://github.com/advisories?query=credit%3Aoctocat) будут отображаться только помощники, кредитуемые учетной записью пользователя octocat.
sort:created-asc
[
sort:created-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) сначала будет сортироваться по самым старым советникам.
sort:created-desc
[
sort:created-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) сначала будет сортироваться по новым рекомендациям.
sort:updated-asc
[
sort:updated-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) сначала будет сортироваться по наименее недавно обновленному.
sort:updated-desc
[
sort:updated-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) сначала будет сортироваться по последнему обновлению.
is:withdrawn
[
is:withdrawn
](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) отображаются только рекомендации, которые были отозваны.
created:YYYY-MM-DD
[
created:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) будут отображаться только рекомендации, созданные на этой дате.
updated:YYYY-MM-DD
[
updated:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) будут отображаться только рекомендации, обновленные на этой дате.

Квалификатор GHSA-ID — это уникальный идентификатор, который мы автоматически GitHub присваиваем каждому уведомлению в GitHub Advisory Database. Для получения дополнительной информации об этих идентификаторах см. раздел «О GitHub Advisory Database.

Просмотр ваших уязвимых репозиториев

Для любого GitHub-рассмотренного предупреждения в GitHub Advisory Database, вы можете увидеть, какие из ваших репозиториев затронуты этой уязвимостью безопасности или вредоносным ПО. Чтобы увидеть уязвимый репозиторий, вы должны иметь доступ к Dependabot alerts этому репозиторию. Дополнительные сведения см. в разделе Dependabot alerts.

1. Перейдите к https://github.com/advisories.
2. Щелкните рекомендацию.
3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot.

1. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. В выпадающем меню «Организация» можно отфильтровать Dependabot alerts по владельцам (организации или пользователю).
2. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.