GitHub Advisory Database内のアドバイザリにアクセスする
GitHub Advisory Database内の任意のアドバイザリにアクセスできます。
-
https://github.com/advisories に移動します。
-
必要に応じて、アドバイザリの一覧をフィルター処理するには、一覧の上にある検索フィールドまたはドロップダウン メニューを使います。
メモ
左側のサイドバーを使用すると、GitHubレビュー済みのアドバイザリと未レビューのアドバイザリをそれぞれ閲覧したり、エコシステムで絞り込んだりできます。
-
アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHubレビューされたアドバイザリが表示されます。 マルウェア アドバイザリを表示するには、検索バーで
type:malwareを使用します。
データベースは、GraphQL API を使用してアクセスすることもできます。 既定では、GitHubを指定しない限り、クエリはセキュリティの脆弱性に関するtype:malwareレビューされたアドバイザリを返します。 詳細については、「Webhook のイベントとペイロード」を参照してください。
さらに、REST API を使用して GitHub Advisory Database にアクセスできます。 詳細については、「グローバル セキュリティ アドバイザリ用の REST API エンドポイント」を参照してください。
GitHub Advisory Database でアドバイザリを編集する
GitHub Advisory Databaseの任意のアドバイザリの改善を提案できます。 詳細については、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。
GitHub Advisory Database を検索中
データベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリを検索できます。
日付の書式設定は、ISO8601 標準の YYYY-MM-DD (年-月-日) に従う必要があります。
日付の後にオプションの時刻情報 THH:MM:SS+00:00 を追加して、時間、分、秒で検索することもできます。 これは、T の後に HH:MM:SS (時-分-秒)、UTC オフセット (+00:00) が続きます。
日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「検索構文を理解する」をご覧ください。
| 修飾子 | 例 |
|---|---|
type:reviewed | |
| [ | |
type:reviewed | |
| ](https://github.com/advisories?query=type%3Areviewed) では、セキュリティの脆弱性に関する GitHubレビューされたアドバイザリが表示されます。 | |
type:malware | |
| [ | |
type:malware | |
| ](https://github.com/advisories?query=type%3Amalware) を使うと、マルウェアに関するアドバイザリが表示されます。 | |
type:unreviewed | |
| [ | |
type:unreviewed | |
| ](https://github.com/advisories?query=type%3Aunreviewed) を使うと、レビューされていないアドバイザリが表示されます。 | |
GHSA-ID | |
| [ | |
GHSA-49wp-qq6x-g2rf | |
| ](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) では、この GitHub Advisory Database ID のアドバイザリが表示されます。 | |
CVE-ID | |
| [ | |
CVE-2020-28482 | |
| ](https://github.com/advisories?query=CVE-2020-28482) を使用すると、この CVE ID 番号のアドバイザリが表示されます。 | |
ecosystem:ECOSYSTEM | |
| [ | |
ecosystem:npm | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) を使用すると、npm パッケージに影響を与えるアドバイザリのみが表示されます。 | |
severity:LEVEL | |
| [ | |
severity:high | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) を使用すると、重要度レベルが高いアドバイザリのみが表示されます。 | |
affects:LIBRARY | |
| [ | |
affects:lodash | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) を使うと、lodash ライブラリに影響するアドバイザリのみが表示されます。 | |
cwe:ID | |
| [ | |
cwe:352 | |
| ](https://github.com/advisories?query=cwe%3A352) を使用すると、この CWE 番号のアドバイザリのみが表示されます。 | |
credit:USERNAME | |
| [ | |
credit:octocat | |
| ](https://github.com/advisories?query=credit%3Aoctocat) を使用すると、"octocat" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。 | |
sort:created-asc | |
| [ | |
sort:created-asc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) を使うと、古いアドバイザリから順に並べ替えられます。 | |
sort:created-desc | |
| [ | |
sort:created-desc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) を使うと、新しいアドバイザリから順に並べ替えられます。 | |
sort:updated-asc | |
| [ | |
sort:updated-asc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) を使うと、更新時期が最も古いものから順に並べ替えられます。 | |
sort:updated-desc | |
| [ | |
sort:updated-desc | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) を使うと、更新時期が最も新しいものから順に並べ替えられます。 | |
is:withdrawn | |
| [ | |
is:withdrawn | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) を使うと、取り消されたアドバイザリのみが表示されます。 | |
created:YYYY-MM-DD | |
| [ | |
created:2021-01-13 | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) を使うと、この日付に作成されたアドバイザリのみが表示されます。 | |
updated:YYYY-MM-DD | |
| [ | |
updated:2021-01-13 | |
| ](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) を使うと、この日付に更新されたアドバイザリのみが表示されます。 |
GHSA-ID 修飾子は、GitHub に含まれる各アドバイザリに対して GitHub Advisory Database が自動的に割り当てる一意の ID です。 これらの識別子の詳細については、「GitHub Advisory Databaseについて」を参照してください。
脆弱性のあるリポジトリを表示する
GitHub 内の GitHub Advisory Database によるレビュー済みアドバイザリについては、どのリポジトリがそのセキュリティ脆弱性またはマルウェアの影響を受けているかを確認できます。 脆弱なリポジトリを表示するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳細については、「Dependabot alerts」を参照してください。
- https://github.com/advisories に移動します。
- アドバイザリをクリックします。
- アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。
!["グローバル セキュリティ アドバイザリ" のスクリーンショット。 [Dependabot アラート] ボタンがオレンジ色のアウトラインで強調されています。](/assets/cb-46651/mw-1440/images/help/security/advisory-database-dependabot-alerts.webp)
- 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [組織] ドロップダウン メニューでは、所有者 (組織またはユーザー) ごとに Dependabot alerts をフィルター処理できます。
- アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。
ローカル アドバイザリ データベースへのアクセス GitHub Enterprise Server
サイト管理者がインスタンスの GitHub Connect を有効にしている場合は、レビューされたアドバイザリをローカルで参照することもできます。 詳細については、「GitHub Connect について」を参照してください。
特定のセキュリティの脆弱性が含まれており、それによって、脆弱な依存関係に関するアラートを受け取るかどうかを、ローカル アドバイザリ データベースを使用して確認できます。 脆弱なリポジトリを表示することもできます。
-
https://HOSTNAME/advisoriesに移動します。 -
必要に応じて、リストをフィルタするには、ドロップダウンメニューを使用します。
メモ
レビューされたアドバイザリのみが一覧表示されます。 未確認の勧告は、GitHub Advisory Database の GitHub.com で確認できます。 詳しくは、「GitHub Advisory Database のアドバイザリにアクセスする」を参照してください。
-
アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHubレビューされたアドバイザリが表示されます。 マルウェア アドバイザリを表示するには、検索バーで
type:malwareを使用します。
ローカル アドバイザリ データベースから直接、任意のアドバイザリの改善を提案することもできます。 詳細については、「GitHub Advisory Database でのセキュリティ アドバイザリの編集」を参照してください。
インスタンスの脆弱なリポジトリの閲覧
この機能を使うには、Enterprise 所有者が Dependabot alerts の お使いの GitHub Enterprise Server インスタンス を有効にする必要があります。 詳しくは、「エンタープライズ向けの Dependabot の有効化」をご覧ください。
ローカル アドバイザリ データベースでは、各セキュリティ脆弱性またはマルウェアの影響を受けるリポジトリを確認できます。 脆弱なリポジトリを表示するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳細については、「Dependabot alerts」を参照してください。
https://HOSTNAME/advisoriesに移動します。- アドバイザリをクリックします。
- アドバイザリ ページの上部にある [Dependabot アラート] をクリックします。
- 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 [組織] ドロップダウン メニューでは、所有者 (組織またはユーザー) ごとに Dependabot alerts をフィルター処理できます。
- アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。