关于全球安全公告

全球安全公告包括影响开源领域的 CVE 和 GitHub 原创公告,这些公告位于 GitHub Advisory Database 中。

在本文中

关于全球安全咨询

有两种类型的公告:全局安全公告和存储库安全公告。 全球公告存储在 GitHub Advisory Database 中,分为三类:

  • GitHub-审查的公告被映射到在我们支持的生态系统中的包。 我们仔细查看每个公告的有效性,并确保它们包含完整的说明以及生态系统和包信息。
  • 未查看 的公告会自动发布到 GitHub Advisory Database,直接从国家漏洞数据库源发布。
  • 恶意软件 公告与恶意软件造成的漏洞有关,并且是 npm 生态系统的独占。 我们自动将其发布到 GitHub Advisory Database,直接使用 npm 安全团队提供的信息。

注意

Dependabot 不会为未经审核的通知和恶意软件通知生成 Dependabot alerts。

每个存储库公告都会经过 GitHub Security Lab 策展团队的审核,以考虑是否将其纳入全球公告。 我们会将依赖关系图支持的所有生态系统的安全公告发布到 GitHub Advisory Database。

任何人都可以建议改进任何全球安全公告。 可以编辑或添加任何详细信息,包括其他受影响的生态系统、严重性级别或受影响方的说明。 GitHub Security Lab 策展团队将审核提交的改进内容。

后续步骤

访问 GitHub Advisory Database 中的公告。 请参阅“在 GitHub Advisory Database 中浏览安全公告”。

延伸阅读

  •         [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories)