关于全局安全公告
安全公告分为两种类型:全局安全公告和代码库安全公告。有关代码库安全公告的更多信息,请参阅“关于代码库安全公告”。
全局安全公告分为以下几类:GitHub 审核的公告、未审核的公告和恶意软件公告。
- GitHub 审核的公告是指已映射到我们支持的生态系统中的软件包的安全漏洞。我们仔细审查每个公告的有效性,并确保它们具有完整的描述,并且包含生态系统和软件包信息。
- 未审核的公告是指我们直接从国家漏洞数据库 (NVD) 提要中自动发布到 GitHub 安全公告数据库中的安全漏洞。
- 恶意软件公告与由恶意软件引起的漏洞有关,是 GitHub 直接从 npm 安全团队提供的信息中自动发布到 GitHub 安全公告数据库中的安全公告。恶意软件公告专属于 npm 生态系统。GitHub 不会编辑这些公告,也不会接受社区对此类公告的贡献。
注意
Dependabot 不会针对未审核的公告和恶意软件公告生成 Dependabot 警报。
有关 GitHub 安全公告数据库的更多信息,请参阅“关于 GitHub 安全公告数据库”。
GitHub 安全公告数据库中 github.com/advisories 上的安全公告被视为全局公告。任何人都可以建议改进 GitHub 安全公告数据库中的任何全局安全公告。您可以编辑或添加任何详细信息,包括额外受影响的生态系统、严重级别或受影响者的描述。GitHub 安全实验室策展团队将审查提交的改进,并在接受后将其发布到 GitHub 安全公告数据库中。
每个代码库公告都会由 GitHub 安全实验室策展团队审查,以考虑将其作为全局公告。我们将依赖关系图支持的任何生态系统的安全公告发布到 github.com/advisories 上的 GitHub 安全公告数据库中。
您可以访问 GitHub 安全公告数据库中的任何公告。有关更多信息,请参阅“在 GitHub 安全公告数据库中浏览安全公告”。
您可以建议改进 GitHub 安全公告数据库中的任何公告。有关更多信息,请参阅“编辑 GitHub 安全公告数据库中的安全公告”。