Como procurar avisos de segurança no GitHub Advisory Database

Acessar um aviso no GitHub Advisory Database

Você pode acessar qualquer consultoria no GitHub Advisory Database.

1. Navegue até https://github.com/advisories.

2. Opcionalmente, para filtrar a lista de avisos, use o campo de pesquisa ou os menus suspensos na parte superior da lista.

   Observação

   Você pode usar a barra lateral à esquerda para explorar GitHubos avisos revisados e não revisados separadamente ou filtrar por ecossistema.

3. Clique em um aviso para examinar as informações. Por padrão, você verá GitHubavisos revisados para vulnerabilidades de segurança. Para mostrar o avisos de malware, use type:malware na barra de pesquisa.

O banco de dados também pode ser acessado usando a API do GraphQL. Por padrão, as consultas retornarão GitHubavisos revisados para vulnerabilidades de segurança, a menos que você especifique type:malware. Para obter mais informações, confira Eventos e cargas de webhook.

Além disso, você pode acessar a GitHub Advisory Database usando a API REST. Para obter mais informações, consulte Endpoints de API REST para avisos de segurança globais.

Editar um aviso no GitHub Advisory Database

Você pode sugerir melhorias para qualquer aviso no GitHub Advisory Database. Para obter mais informações, consulte Editando consultorias de segurança no banco de dados consultivo do GitHub.

Pesquisando no GitHub Advisory Database

Você pode procurar no banco de dados e usar qualificadores para limitar sua busca. Por exemplo, você pode procurar consultorias criadas em uma determinada data, em um ecossistema específico ou em uma biblioteca em particular.

A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).

Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para saber mais, confira Noções básicas de sintaxe de pesquisa.

Qualificador	Exemplo
type:reviewed
[
type:reviewed
](https://github.com/advisories?query=type%3Areviewed) mostrará GitHubavisos revisados para vulnerabilidades de segurança.
type:malware
[
type:malware
](https://github.com/advisories?query=type%3Amalware) exibirá avisos de malware.
type:unreviewed
[
type:unreviewed
](https://github.com/advisories?query=type%3Aunreviewed) exibirá avisos não revisados.
GHSA-ID
[
GHSA-49wp-qq6x-g2rf
](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) mostrará o aviso com este ID GitHub Advisory Database.
CVE-ID
[
CVE-2020-28482
](https://github.com/advisories?query=CVE-2020-28482) exibirá o aviso com este número de identificação CVE.
ecosystem:ECOSYSTEM
[
ecosystem:npm
](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) mostrará apenas avisos que afetam pacotes npm.
severity:LEVEL
[
severity:high
](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) mostrará apenas os avisos com alto nível de gravidade.
affects:LIBRARY
[
affects:lodash
](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) Mostrará apenas os avisos que afetam a biblioteca lodash.
cwe:ID
[
cwe:352
](https://github.com/advisories?query=cwe%3A352) mostrará apenas os avisos com este número CWE.
credit:USERNAME
[
credit:octocat
](https://github.com/advisories?query=credit%3Aoctocat) mostrarão apenas os avisos creditados à conta de usuário "octocat".
sort:created-asc
[
sort:created-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) será classificado pelas recomendações mais antigas.
sort:created-desc
[
sort:created-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) será classificado primeiro pelos avisos mais recentes.
sort:updated-asc
[
sort:updated-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) será classificado da menos atualizada para a mais recente.
sort:updated-desc
[
sort:updated-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) será classificada da mais recente para a mais antiga.
is:withdrawn
[
is:withdrawn
](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) mostrará apenas os avisos que foram retirados.
created:YYYY-MM-DD
[
created:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) mostrará apenas os avisos criados nesta data.
updated:YYYY-MM-DD
[
updated:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) mostrará apenas os avisos atualizados nesta data.

Um qualificador GHSA-ID é um identificador exclusivo que nós da GitHub atribuímos automaticamente a cada aviso no GitHub Advisory Database. Para obter mais informações sobre esses identificadores, consulte Sobre o GitHub Advisory Database.

Visualizar seus repositórios vulneráveis

Para qualquer aviso analisado por GitHub em GitHub Advisory Database, você pode ver quais dos seus repositórios estão afetados por essa vulnerabilidade de segurança ou malware. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para obter mais informações, consulte Dependabot alerts.

1. Navegue até https://github.com/advisories.
2. Clique em uma consultoria.
3. Na parte superior da página do aviso, clique em Alertas do Dependabot.

1. Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar o Dependabot alerts por proprietário (organização ou usuário).
2. Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.

Acessando o banco de dados local de avisos em GitHub Enterprise Server

Se o administrador do site tiver habilitado GitHub Connect para sua instância, você também poderá navegar localmente pelos alertas revisados. Para obter mais informações, consulte Sobre GitHub Connect.

Você pode usar seu banco de dados de aviso local para verificar se uma vulnerabilidade de segurança específica está incluída e, portanto, se você receberia alertas para dependências vulneráveis. Você também pode exibir repositórios vulneráveis.

1. Navegue até https://HOSTNAME/advisories.

2. Opcionalmente, para filtrar a lista, use qualquer um dos menus suspensos.

   Observação

   Somente os avisos revisados ​​serão listados. Os avisos não revisados podem ser visualizados no GitHub Advisory Database em GitHub.com. Para obter mais informações, consulte Acessando um aviso no banco de dados de avisos do GitHub.

3. Clique em um aviso para examinar as informações. Por padrão, você verá GitHubavisos revisados para vulnerabilidades de segurança. Para mostrar o avisos de malware, use type:malware na barra de pesquisa.

Você também pode sugerir aprimoramentos em qualquer aviso diretamente do banco de dados de aviso local. Para obter mais informações, consulte Editando consultorias de segurança no banco de dados consultivo do GitHub.

Visualizando repositórios vulneráveis ​​para sua instância

Os proprietários de empresa devem habilitar Dependabot alerts para o sua instância do GitHub Enterprise Server antes de usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.

Na base de dados de avisos locais, você pode ver quais repositórios são afetados por cada vulnerabilidade de segurança ou malware. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para obter mais informações, consulte Dependabot alerts.

1. Navegue até https://HOSTNAME/advisories.
2. Clique em uma consultoria.
3. Na parte superior da página do aviso, clique em Alertas do Dependabot.

1. Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar o Dependabot alerts por proprietário (organização ou usuário).
2. Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.