关于全球安全通报

全局安全公告是影响开源世界的 CVE 和 GitHub 发起的公告,存放在 GitHub Advisory Database(GitHub 安全公告数据库)中。

本文内容

关于全局安全公告

安全公告有两种类型:全局安全公告和仓库安全公告。全局公告位于GitHub Advisory Database(GitHub 安全公告数据库),并分为三类。

  • GitHub 审核的公告会映射到我们支持的生态系统中的软件包。我们会仔细审查每个公告的有效性,并确保其包含完整的描述以及生态系统和软件包信息。
  • 未审核的公告会自动发布到 GitHub 安全公告数据库,直接来源于国家漏洞数据库(NVD)馈送。
  • 恶意软件公告涉及由恶意软件导致的漏洞,仅针对 npm 生态系统。我们会自动将其发布到 GitHub 安全公告数据库,直接来源于 npm 安全团队提供的信息。

注意

Dependabot 不会为未审核和恶意软件公告生成 Dependabot 警报。

每个 仓库 公告都会由 GitHub Security Lab(安全实验室)策展团队审查,以决定是否作为全局公告。我们会将依赖图支持的所有生态系统的安全公告发布到 GitHub 安全公告数据库。

任何人都可以对任意全局安全公告提出改进建议。您可以编辑或添加任何细节,包括新增受影响的生态系统、严重程度或受影响对象的描述。GitHub Security Lab(安全实验室)策展团队会审查提交的改进内容。

后续步骤

在 GitHub 安全公告数据库中访问公告。参见在 GitHub 安全公告数据库中浏览安全公告

延伸阅读

© . This site is unofficial and not affiliated with GitHub, Inc.