À propos des avis de sécurité globaux
Les avis globaux sont regroupés en GitHub Advisory Database trois catégories :
GitHub-les avis examinés** sont associés aux paquets au sein des écosystèmes que nous soutenons. Nous examinons soigneusement chaque avis pour la validité et nous nous assurons qu’ils contiennent une description complète et des informations sur l’écosystème et les packages.
- Les avis non révisés sont publiés automatiquement dans le GitHub Advisory Database, directement à partir du flux de la National Vulnerability Database.
- Les avis sur les programmes malveillants concernent les vulnérabilités causées par les programmes malveillants et sont exclusifs à l’écosystème npm. Nous les publions automatiquement dans le GitHub Advisory Databasefichier , directement à partir des informations fournies par l’équipe de sécurité npm.
Remarque
Dependabot ne génère pas Dependabot alerts pour les avis non examinés et les avis relatifs aux logiciels malveillants.
Chaque avis de dépôt est examiné par l’équipe GitHub Security Lab de curation afin de déterminer s’il peut être considéré comme un avis global. Nous publions des avis de sécurité pour n’importe lequel des écosystèmes pris en charge par le graphe de dépendances sur le GitHub Advisory Database.
Tout le monde peut suggérer des améliorations sur n’importe quel avis de sécurité mondial. Vous pouvez modifier ou ajouter les détails de votre choix, notamment les écosystèmes nouvellement affectés, le niveau de gravité ou la description des personnes affectées. L’équipe GitHub Security Lab de curation examinera les améliorations soumises.
Étapes suivantes
Conseils d’accès dans le GitHub Advisory Database. Consultez « Exploration des avis de sécurité dans la base de données GitHub Advisory ».