访问 GitHub 咨询数据库中的通报
你可以访问 GitHub 咨询数据库中的任何通报。
-
(可选)要筛选通报列表,请使用搜索字段或列表顶部的下拉菜单。
注意
你可以使用左侧的侧边栏分别浏览 GitHub 审查过的和未审查的通报,或者按生态系统进行筛选。
-
单击某个通报以查看详细信息。默认情况下,你将看到 GitHub 审查过的安全漏洞通报。要显示恶意软件通报,请在搜索栏中使用
type:malware。
该数据库也可通过 GraphQL API 访问。默认情况下,除非你指定 type:malware,否则查询将返回 GitHub 审查过的安全漏洞通报。有关详细信息,请参阅 Webhook 事件和负载。
此外,你还可以使用 REST API 访问 GitHub 咨询数据库。有关详细信息,请参阅 全球安全通报的 REST API 终结点。
编辑 GitHub 咨询数据库中的通报
你可以建议改进 GitHub 咨询数据库中的任何通报。有关详细信息,请参阅 在 GitHub 咨询数据库中编辑安全通报。
搜索 GitHub 咨询数据库
你可以搜索数据库,并使用限定符来缩小搜索范围。例如,你可以搜索在特定日期创建、属于特定生态系统或特定库中的通报。
日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。你还可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以便按小时、分钟和秒进行搜索。即 T,后跟 HH:MM:SS(小时-分钟-秒)和一个 UTC 偏移量 (+00:00)。
在按日期搜索时,您可以使用大于、小于和范围限定符来进一步过滤结果。欲了解更多信息,请参阅 理解搜索语法。
| 限定符 | 示例 |
|---|---|
type:reviewed | type:reviewed 将显示 GitHub 审查过的安全漏洞通报。 |
type:malware | type:malware 将显示恶意软件通报。 |
type:unreviewed | type:unreviewed 将显示未审查的通报。 |
GHSA-ID | GHSA-49wp-qq6x-g2rf 将显示具有此 GitHub 咨询数据库 ID 的通报。 |
CVE-ID | CVE-2020-28482 将显示具有此 CVE ID 号的通报。 |
ecosystem:ECOSYSTEM | ecosystem:npm 将仅显示影响 npm 包的通报。 |
severity:LEVEL | severity:high 将仅显示严重级别高的通报。 |
affects:LIBRARY | affects:lodash 将仅显示影响 lodash 库的通报。 |
cwe:ID | cwe:352 将仅显示具有此 CWE 编号的通报。 |
credit:USERNAME | credit:octocat 将仅显示归属于 "octocat" 用户帐户的通报。 |
sort:created-asc | sort:created-asc 将按最早创建的通报排序。 |
sort:created-desc | sort:created-desc 将按最新创建的通报排序。 |
sort:updated-asc | sort:updated-asc 将按最近更新时间最远的通报排序。 |
sort:updated-desc | sort:updated-desc 将按最近更新时间最近的通报排序。 |
is:withdrawn | is:withdrawn 将仅显示已撤回的通报。 |
created:YYYY-MM-DD | created:2021-01-13 将仅显示在此日期创建的通报。 |
updated:YYYY-MM-DD | updated:2021-01-13 将仅显示在此日期更新的通报。 |
GHSA-ID 限定符是 GitHub 自动分配给 GitHub 咨询数据库中每个通报的唯一 ID。有关这些标识符的详细信息,请参阅 关于 GitHub 咨询数据库。
查看你的易受攻击的仓库
对于 GitHub 咨询数据库中任何经 GitHub 审查的通报,你可以查看哪些仓库受该安全漏洞或恶意软件的影响。要查看易受攻击的仓库,你必须有权访问该仓库的 Dependabot 警报。有关详细信息,请参阅 关于 Dependabot 警报。
- 导航到 https://github.com/advisories。
- 单击某个通报。
- 在通报页面的顶部,单击 Dependabot 警报。
- (可选)要筛选列表,请使用搜索栏或下拉菜单。“Organization”(组织)下拉菜单允许你按所有者(组织或用户)筛选 Dependabot 警报。
- 有关通报的更多详细信息以及如何修复易受攻击的仓库的建议,请单击仓库名称。
