グローバル セキュリティ アドバイザリについて
グローバル アドバイザリは GitHub Advisory Database に存在し、次の 3 つのカテゴリにグループ化されています。
GitHubレビューされた** アドバイザリは、サポートされているエコシステム内のパッケージにマップされます。 各アドバイザリの有効性を慎重に確認し、完全な説明とエコシステムとパッケージ情報の両方が含まれていることを確認します。
- 未確認の アドバイザリは、National Vulnerability Database フィードから直接、 GitHub Advisory Databaseに自動的に発行されます。
- マルウェア アドバイザリは、マルウェアによって引き起こされる脆弱性に関連し、 npm エコシステムに限定されます。 私たちは、npm セキュリティ チームから提供された情報をもとに、GitHub Advisory Database に自動的に公開します。
メモ
Dependabot は、未レビューおよびマルウェアのアドバイザリに対して Dependabot alerts を生成しません。
すべての リポジトリ アドバイザリは、グローバル アドバイザリとして扱うかどうかを検討するために、GitHub Security Lab キュレーション チームによってレビューされます。 依存関係グラフでサポートされているエコシステムのセキュリティ アドバイザリを GitHub Advisory Databaseに公開します。
誰でも、グローバル セキュリティ アドバイザリの改善を提案できます。 影響を受けるエコシステム、重大度レベル、または影響を受けるユーザーの説明など、任意の詳細を編集または追加できます。 GitHub Security Labキュレーション チームは、送信された機能強化を確認します。
次のステップ
GitHub Advisory Database でアドバイザリを参照してください。 「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。