Durchsuchen von Sicherheitsempfehlungen in der GitHub Advisory Database

Zugriff auf einen Sicherheitshinweis in der GitHub Advisory Database

Sie können auf jede Empfehlung in GitHub Advisory Database zugreifen.

1. Navigieren Sie zu https://github.com/advisories.

2. Um die Liste der Empfehlungen zu filtern, verwende optional das Suchfeld oder die Dropdownmenüs am Anfang der Liste.

   Hinweis

   Sie können die Randleiste auf der linken Seite verwenden, um überprüfte und nicht überprüfte Empfehlungen separat zu erkunden GitHuboder nach Ökosystem zu filtern.

3. Klicke auf eine Empfehlung, um die Details zu sehen. Standardmäßig werden Ihnen GitHubgeprüfte Sicherheitshinweise zu Sicherheitslücken angezeigt. Verwenden Sie type:malware auf der Suchleiste, um Hinweise zu Schadsoftware anzuzeigen.

Die Datenbank ist auch über die GraphQL-API zugänglich. Standardmäßig geben Abfragen GitHub-geprüfte Sicherheitshinweise zu Sicherheitslücken zurück, sofern Sie nicht type:malware angeben. Weitere Informationen findest du unter Webhook-Ereignisse und Webhook-Nutzlasten.

Darüber hinaus können Sie über die REST-API auf GitHub Advisory Database zugreifen. Weitere Informationen findest du unter REST-API-Endpunkte für globale Sicherheitsempfehlungen.

Bearbeiten einer Empfehlung im GitHub Advisory Database

Sie können an jedem Hinweis in der GitHub Advisory Database Verbesserungen vorschlagen. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Suchen in GitHub Advisory Database

Du kannst die Datenbank durchsuchen und die Suche mithilfe von Qualifizierern eingrenzen. Du kannst die Suche z. B. nach Empfehlungen eingrenzen, die an einem bestimmten Datum, in einem bestimmten Ökosystem oder in einer bestimmten Bibliothek erstellt wurden.

Die Datumsformatierung muss dem ISO8601-Standard entsprechen: YYYY-MM-DD (Jahr-Monat-Tag). Du kannst nach dem Datum auch optionale Zeitinformationen im Format THH:MM:SS+00:00 hinzufügen, um nach Stunde, Minute und Sekunde zu suchen. Das heißt, T, gefolgt von HH:MM:SS (Stunden-Minuten-Sekunden) und einem UTC-Offset (+00:00).

Wenn du nach einem Datum suchst, kannst du „größer als“, „kleiner als“ und Bereichsqualifizierer verwenden, um Ergebnisse weiter zu filtern. Weitere Informationen finden Sie unter Grundlagen der Suchsyntax.

Qualifizierer	Example
type:reviewed
[
type:reviewed
](https://github.com/advisories?query=type%3Areviewed) wird GitHub-geprüfte Hinweise zu Sicherheitslücken anzeigen.
type:malware
[
type:malware
](https://github.com/advisories?query=type%3Amalware) zeigt Hinweise zu Schadsoftware an.
type:unreviewed
[
type:unreviewed
](https://github.com/advisories?query=type%3Aunreviewed) zeigt nicht überprüfte Hinweise an.
GHSA-ID
[
GHSA-49wp-qq6x-g2rf
](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) wird den Hinweis mit dieser GitHub Advisory Database ID anzeigen.
CVE-ID
[
CVE-2020-28482
](https://github.com/advisories?query=CVE-2020-28482) zeigt den Hinweis mit dieser CVE-ID an.
ecosystem:ECOSYSTEM
[
ecosystem:npm
](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) zeigt ausschließlich Hinweise für npm-Pakete an.
severity:LEVEL
[
severity:high
](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) zeigt ausschließlich Hinweise mit einem hohen Schweregrad an.
affects:LIBRARY
[
affects:lodash
](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) zeigt ausschließlich Hinweise für die Bibliothek „lodash“ an.
cwe:ID
[
cwe:352
](https://github.com/advisories?query=cwe%3A352) zeigt ausschließlich Hinweise mit dieser CWE-Nummer an.
credit:USERNAME
[
credit:octocat
](https://github.com/advisories?query=credit%3Aoctocat) zeigt ausschließlich Hinweise an, die dem Benutzerkonto „octocat“ zugeschrieben werden.
sort:created-asc
[
sort:created-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) sortiert die Hinweise so, dass die ältesten zuerst angezeigt werden.
sort:created-desc
[
sort:created-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) sortiert die Hinweise so, dass die neuesten zuerst angezeigt werden.
sort:updated-asc
[
sort:updated-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) sortiert die Hinweise so, dass die am längsten nicht aktualisierten zuerst angezeigt werden.
sort:updated-desc
[
sort:updated-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) sortiert die Hinweise so, dass die kürzlich aktualisierten zuerst angezeigt werden.
is:withdrawn
[
is:withdrawn
](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) zeigt ausschließlich Hinweise an, die zurückgezogen wurden.
created:YYYY-MM-DD
[
created:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) zeigt ausschließlich Hinweise an, die an diesem Datum erstellt wurden.
updated:YYYY-MM-DD
[
updated:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) zeigt ausschließlich Hinweise an, die an diesem Datum aktualisiert wurden.

Ein GHSA-ID-Qualifizierer ist eine eindeutige ID, die wir bei GitHub jedem Sicherheitshinweis in der GitHub Advisory Database automatisch zuweisen. Weitere Informationen zu diesen Bezeichnern finden Sie unter About the GitHub Advisory Database.

Anzeigen von anfälligen Repositorys

Für jeden mit GitHub überprüften Sicherheitshinweis in GitHub Advisory Database können Sie sehen, welche Ihrer Repositorys von dieser Sicherheitslücke oder Schadsoftware betroffen sind. Um ein anfälliges Repository anzuzeigen, müssen Sie Zugriff auf Dependabot alerts dieses Repository haben. Weitere Informationen findest du unter Dependabot alerts.

1. Navigieren Sie zu https://github.com/advisories.
2. Klicke auf eine Empfehlung.
3. Klicke oben auf der Seite der Empfehlung auf Dependabot-Warnungen.

1. Du kannst die Liste auch über die Suchleiste oder mit einem der Dropdownmenüs filtern. Mit dem Dropdown-Menü „Organisation“ können Sie Dependabot alerts nach Besitzer (Organisation oder Benutzer) filtern.
2. Klicke auf den Namen der Empfehlung, um weitere Informationen zum jeweiligen Sicherheitsrisiko sowie Ratschläge zu dessen Behebung anzuzeigen.

Zugreifen auf die lokale Beratungsdatenbank auf GitHub Enterprise Server

Wenn Ihr Website-Administrator GitHub Connect für Ihre Instanz aktiviert hat, können Sie auch geprüfte Empfehlungen lokal durchsuchen. Weitere Informationen findest du unter Informationen zu GitHub Connect.

Du kannst mit deiner lokalen Advisory Database überprüfen, ob ein bestimmtes Sicherheitsrisiko vorliegt, und entsprechend Warnungen zu sicherheitsanfälligen Abhängigkeiten erhalten. Du kannst auch alle sicherheitsanfälligen Repositorys anzeigen.

1. Navigiere zu https://HOSTNAME/advisories.

2. Du kannst die Liste auch mit einem der Dropdownmenüs filtern.

   Hinweis

   Es werden nur überprüfte Hinweise aufgelistet. Ungeprüfte Hinweise können unter GitHub Advisory Database in der GitHub.com angezeigt werden. Weitere Informationen finden Sie unter Zugreifen auf einen Hinweis in der GitHub Advisory Database.

3. Klicke auf eine Empfehlung, um die Details zu sehen. Standardmäßig werden GitHubüberprüfte Sicherheitshinweise zu Sicherheitslücken angezeigt. Verwenden Sie type:malware auf der Suchleiste, um Hinweise zu Schadsoftware anzuzeigen.

Du kannst Verbesserungen von Empfehlungen auch direkt von deiner lokalen Advisory Database aus vorschlagen. Weitere Informationen findest du unter Bearbeiten von Sicherheitshinweisen in GitHub Advisory Database.

Anzeigen anfälliger Repositorys für Ihre Instanz

Unternehmensbesitzer müssen Dependabot alerts für Ihre GitHub Enterprise Server-Instance aktivieren, bevor du dieses Feature nutzen kannst. Weitere Informationen finden Sie unter Aktivieren von Dependabot für dein Unternehmen.

Sie können in der lokalen Advisory Database sehen, welche Repositorys vom jeweiligen Sicherheitsrisiko oder von der jeweiligen Schadsoftware betroffen sind. Um ein anfälliges Repository anzuzeigen, müssen Sie Zugriff auf Dependabot alerts dieses Repository haben. Weitere Informationen findest du unter Dependabot alerts.

1. Navigiere zu https://HOSTNAME/advisories.
2. Klicke auf eine Empfehlung.
3. Klicke oben auf der Seite der Empfehlung auf Dependabot-Warnungen.

1. Du kannst die Liste auch über die Suchleiste oder mit einem der Dropdownmenüs filtern. Mit dem Dropdown-Menü „Organisation“ können Sie Dependabot alerts nach Eigentümer (Organisation oder Benutzer) filtern.
2. Klicke auf den Namen der Empfehlung, um weitere Informationen zum jeweiligen Sicherheitsrisiko sowie Ratschläge zu dessen Behebung anzuzeigen.