Accéder à un avis de sécurité dans le GitHub Advisory Database
Vous pouvez accéder à n’importe quel avis dans le GitHub Advisory Database.
-
Accédez à https://github.com/advisories.
-
Si vous le souhaitez, pour filtrer la liste des avis, utilisez le champ de recherche ou les menus déroulants situés en haut de la liste.
Remarque
Vous pouvez utiliser la barre latérale de gauche pour explorer séparément les avis de sécurité examinés par GitHub et les avis non examinés, ou pour filtrer par écosystème.
-
Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis GitHubexaminés concernant les failles de sécurité. Pour afficher les avis sur les programmes malveillants, utilisez
type:malwaredans la barre de recherche.
La base de données est également accessible avec l’API GraphQL. Par défaut, les requêtes renverront des avis de sécurité GitHub-examinés pour les vulnérabilités de sécurité, sauf si vous spécifiez type:malware. Pour plus d’informations, consultez Événements et charges utiles du webhook.
De plus, vous pouvez accéder à GitHub Advisory Database à l’aide de l’API REST. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les avis de sécurité globaux ».
Modification d’un avis dans GitHub Advisory Database
Vous pouvez suggérer des améliorations pour toute alerte dans GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».
Recherche dans le GitHub Advisory Database
Vous pouvez effectuer une recherche dans la base de données et utiliser des qualificateurs pour l’affiner. Par exemple, vous pouvez rechercher des avis créés à une certaine date, dans un écosystème spécifique ou dans une bibliothèque particulière.
La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour).
Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).
Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».
| Qualificateur | Exemple |
|---|---|
type:reviewed | |
| [ | |
type:reviewed | |
| ](https://github.com/advisories?query=type%3Areviewed) affichera des avis GitHubexaminés concernant les vulnérabilités de sécurité. | |
type:malware | |
| [ | |
type:malware | |
| ](https://github.com/advisories?query=type%3Amalware) affiche les avis sur les programmes malveillants. | |
type:unreviewed | |
| [ | |
type:unreviewed | |
| ](https://github.com/advisories?query=type%3Aunreviewed) affiche les avis non révisés. | |
GHSA-ID | |
| [ | |
GHSA-49wp-qq6x-g2rf | |
| ](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) affichera l’avis avec cet identifiant GitHub Advisory Database. | |
CVE-ID | |
| [ | |
CVE-2020-28482 | |
| ](https://github.com/advisories?query=CVE-2020-28482) affiche l’avis avec ce numéro d’ID de CVE. | |
ecosystem:ECOSYSTEM | |
| [ | |
ecosystem:npm | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) affiche uniquement les avis affectant les packages npm. | |
severity:LEVEL | |
| [ | |
severity:high | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) affiche uniquement les avis avec un niveau de gravité élevé. | |
affects:LIBRARY | |
| [ | |
affects:lodash | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) affiche uniquement les avis affectant la bibliothèque lodash. | |
cwe:ID | |
| [ | |
cwe:352 | |
| ](https://github.com/advisories?query=cwe%3A352) affiche uniquement les avis portant ce numéro CWE. | |
credit:USERNAME | |
| [ | |
credit:octocat | |
| ](https://github.com/advisories?query=credit%3Aoctocat) affiche uniquement les avis crédités au compte d’utilisateur « octocat ». | |
sort:created-asc | |
| [ | |
sort:created-asc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) classe les avis les plus anciens en premier. | |
sort:created-desc | |
| [ | |
sort:created-desc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) classe les avis les plus récents en premier. | |
sort:updated-asc | |
| [ | |
sort:updated-asc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) classe les avis les moins récemment mis à jour en premier. | |
sort:updated-desc | |
| [ | |
sort:updated-desc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) classe les avis les plus récemment mis à jour en premier. | |
is:withdrawn | |
| [ | |
is:withdrawn | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) affiche uniquement les avis qui ont été retirés. | |
created:YYYY-MM-DD | |
| [ | |
created:2021-01-13 | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) affiche uniquement les avis créés à cette date. | |
updated:YYYY-MM-DD | |
| [ | |
updated:2021-01-13 | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) affiche uniquement les avis mis à jour à cette date. |
Un qualificatif GHSA-ID est un identifiant unique que GitHub attribue automatiquement à chaque bulletin dans le GitHub Advisory Database. Pour plus d’informations sur ces identificateurs, consultez À propos de .GitHub Advisory Database
Affichage de vos dépôts vulnérables
Pour tout avis de sécurité examiné via GitHub dans le GitHub Advisory Database, vous pouvez voir lesquels de vos dépôts sont affectés par cette faille de sécurité ou ce programme malveillant. Pour afficher un référentiel vulnérable, vous devez avoir accès à Dependabot alerts ce référentiel. Pour plus d’informations, consultez « Dependabot alerts ».
- Accédez à https://github.com/advisories.
- Cliquez sur un avis.
- En haut de la page de l’avis, cliquez sur Alertes Dependabot.
- Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur).
- Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.
Accès à la base de données de conseil locale sur GitHub Enterprise Server
Si votre administrateur de site a activé GitHub Connect pour votre instance, vous pouvez également parcourir les avis examinés localement. Pour plus d’informations, consultez « À propos de GitHub Connect ».
Vous pouvez utiliser votre base de données d’avis locale pour vérifier si une vulnérabilité de sécurité spécifique est incluse, et par conséquent, si vous obtenez des alertes pour les dépendances vulnérables. Vous pouvez également voir tous les dépôts vulnérables.
-
Accédez à
https://HOSTNAME/advisories. -
Si vous le souhaitez, pour filtrer la liste, utilisez l’un des menus déroulants.
Remarque
Seuls les avis révisés seront listés. Les avis non examinés peuvent être consultés dans le GitHub Advisory Database sur GitHub.com. Pour plus d’informations, consultez Accès à un avis dans la base de données d’avis GitHub.
-
Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis examinés par GitHub concernant les vulnérabilités de sécurité. Pour afficher les avis sur les programmes malveillants, utilisez
type:malwaredans la barre de recherche.
Vous pouvez également suggérer des améliorations pour tout avis directement de votre base de données d’avis locale. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».
Affichage des référentiels vulnérables pour votre instance
Les propriétaires d’entreprise doivent activer les Dependabot alerts pour votre instance GitHub Enterprise Server pour que vous puissiez utiliser cette fonctionnalité. Pour plus d’informations, consultez « Activation de Dependabot pour votre entreprise ».
Dans la base de données d’avis locale, vous pouvez voir quels référentiels sont affectés par chaque faille de sécurité ou de programme malveillant. Pour afficher un référentiel vulnérable, vous devez avoir accès à Dependabot alerts ce référentiel. Pour plus d’informations, consultez « Dependabot alerts ».
- Accédez à
https://HOSTNAME/advisories. - Cliquez sur un avis.
- En haut de la page de l’avis, cliquez sur Alertes Dependabot.
- Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer le Dependabot alerts par propriétaire (organisation ou utilisateur).
- Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.