访问 GitHub Advisory Database 中的通告
可以访问 GitHub Advisory Database 中的任何公告。
-
(可选)要筛选公告列表,请使用搜索字段或列表顶部的下拉菜单。
注意
可以使用左侧边栏分别浏览经 GitHub 审核和未审核的通告,或按生态系统筛选。
-
单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。 要显示恶意软件通告,请在搜索栏中使用
type:malware。
也可以使用 GraphQL API 访问数据库。 默认情况下,查询将返回经 GitHub 审核的安全漏洞通告,除非你指定 type:malware。 有关详细信息,请参阅 Webhook 事件和有效负载。
此外,可以使用 REST API 访问 GitHub Advisory Database。 有关详细信息,请参阅“适用于全局安全公告的 REST API 终结点”。
在 GitHub Advisory Database 中编辑公告
你可以对 GitHub Advisory Database 中的任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。
搜索 GitHub Advisory Database
你可以搜索数据库,并使用限定符缩小搜索范围。 例如,你可以搜索在特定日期、特定生态系统或特定库中创建的通告。
日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。
搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。
| 限定符 | Example |
|---|---|
type:reviewed |
[
`type:reviewed`
](https://github.com/advisories?query=type%3Areviewed) 将显示经 GitHub 审核的安全漏洞通告。 |
| type:malware |
type:malware
将显示恶意软件通告。 |
| type:unreviewed|
type:unreviewed
将显示未审核的通告。 |
| GHSA-ID|
GHSA-49wp-qq6x-g2rf
将显示具有此 GitHub Advisory Database ID 的通告。 |
| CVE-ID|
CVE-2020-28482
将显示具有此 CVE ID 编号的通告。 |
| ecosystem:ECOSYSTEM|
ecosystem:npm
仅显示影响 npm 包的通告。 |
| severity:LEVEL|
severity:high
仅显示严重级别为高的通告。 |
| affects:LIBRARY|
affects:lodash
仅显示影响 lodash 库的通告。 |
| cwe:ID|
cwe:352
仅显示具有此 CWE 编号的通告。 |
| credit:USERNAME|
credit:octocat
仅显示鸣谢“octocat”用户帐户的通告。 |
| sort:created-asc|
sort:created-asc
按通告发布时间从早到晚排序。 |
| sort:created-desc|
sort:created-desc
按通告发布时间从晚到早排序。 |
| sort:updated-asc|
sort:updated-asc
按最近更新时间从早到晚排序。 |
| sort:updated-desc|
sort:updated-desc
按最近更新时间从晚到早排序。 |
| is:withdrawn|
is:withdrawn
仅显示已撤回的通告。 |
| created:YYYY-MM-DD|
created:2021-01-13
仅显示在此日期创建的通告。 |
| updated:YYYY-MM-DD|
updated:2021-01-13
仅显示在此日期更新的通告。 |
`GHSA-ID` 限定符是 GitHub 自动分配给 GitHub Advisory Database 中的每个公告的唯一 ID。 有关这些标识符的详细信息,请参阅[关于 GitHub Advisory Database](/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database#about-ghsa-ids)。
查看有漏洞的仓库
对于 GitHub Advisory Database 中任何经 GitHub 审核的通告,你可以查看你的哪些存储库受到该安全漏洞或恶意软件的影响。 要查看有漏洞的仓库,你必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
-
单击通告。
-
在通告页面顶部,单击“Dependabot 警报”****。
 -
(可选)要筛选列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)筛选 Dependabot alerts。
-
有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。
在 GitHub Enterprise Server
上访问本地通告数据库
如果你的站点管理员已为实例启用 GitHub Connect,你也可以在本地浏览经审核的通告。 有关详细信息,请参阅“关于 GitHub Connect”。
可使用本地公告数据库来检查是否包含特定的安全漏洞,从而检查是否会收到有关易受攻击的依赖项的警报。 还可以查看任何易受攻击的存储库。
-
导航到
https://HOSTNAME/advisories。 -
(可选)要筛选列表,请使用任意下拉菜单。
注意
仅列出经审核的通告。 可以在 GitHub.com 上的 GitHub Advisory Database 中查看未审核的公告。 有关详细信息,请参阅在 GitHub Advisory Database 中访问通告。
-
单击任何公告以查看详细信息。 默认情况下,你将看到经 GitHub 审核的安全漏洞公告。 要显示恶意软件通告,请在搜索栏中使用
type:malware。
还可以直接从本地公告数据库中对任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。
查看实例的易受攻击存储库
企业所有者必须对你的 GitHub Enterprise Server 实例启用Dependabot alerts,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。
在本地通告数据库中,你可以查看每个安全漏洞或恶意软件影响哪些存储库。 要查看有漏洞的仓库,你必须有权访问该仓库的 Dependabot alerts。 有关详细信息,请参阅“关于 Dependabot 警报”。
-
导航到
https://HOSTNAME/advisories。 -
单击通告。
-
在通告页面顶部,单击“Dependabot 警报”****。
 -
(可选)要筛选列表,请使用搜索栏或下拉菜单。 “Organization(组织)”下拉菜单用于按所有者(组织或用户)筛选 Dependabot alerts。
-
有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。