Просмотр рекомендаций по безопасности в базе данных рекомендаций по GitHub

Доступ к уведомлению в GitHub Advisory Database

Вы можете получить доступ к любому совету в GitHub Advisory Database.

1. Перейдите к https://github.com/advisories.

2. При необходимости, чтобы отфильтровать список консультантов, используйте поле поиска или раскрывающееся меню в верхней части списка.

   Примечание.

   Вы можете использовать боковую панель слева, чтобы отдельно изучать GitHubпроверенные и непроверенные советы, либо фильтровать по экосистеме.

3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите GitHubпроверенные предупреждения по уязвимостям безопасности. Чтобы просмотреть рекомендации по вредоносным программам, укажите type:malware в строке поиска.

База данных также доступна с помощью API GraphQL. По умолчанию запросы будут возвращать GitHub-reviewed advisories по уязвимостям безопасности, если вы не указали type:malware. Дополнительные сведения см. в разделе AUTOTITLE.

Кроме того, вы можете получить доступ через GitHub Advisory Database REST API. Дополнительные сведения см. в разделе Конечные точки REST API для глобальных рекомендаций по безопасности.

Редактирование уведомления в GitHub Advisory Database

Вы можете предложить улучшения любых рекомендаций в GitHub Advisory Database. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Поиск GitHub Advisory Database

Вы можете выполнять поиск в базе данных и использовать квалификаторы, чтобы сузить область поиска. Например, вы можете искать рекомендации, созданные в определенную дату, в определенной экосистеме или в определенной библиотеке.

Форматы дат должны соответствовать стандарту ISO8601: YYYY-MM-DD (год-месяц-день). Кроме того, можно добавить дополнительные сведения о времени THH:MM:SS+00:00 после даты, чтобы выполнить поиск по часам, минутам и секундам. Это T, а затем идет HH:MM:SS (час, минуты, секунды) и смещение от UTC (+00:00).

При поиске по дате можно использовать квалификаторы "больше", "меньше" и "диапазон" для дополнительной фильтрации результатов. Дополнительные сведения см. в разделе Основные сведения о синтаксисе поиска.

Квалификатор	Example
type:reviewed
[
type:reviewed
](https://github.com/advisories?query=type%3Areviewed) покажет GitHubпроверенные предупреждения по уязвимостям безопасности.
type:malware
[
type:malware
](https://github.com/advisories?query=type%3Amalware) будут отображаться рекомендации по вредоносным программам.
type:unreviewed
[
type:unreviewed
](https://github.com/advisories?query=type%3Aunreviewed) будут отображаться неосмотренные рекомендации.
GHSA-ID
[
GHSA-49wp-qq6x-g2rf
](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) покажет уведомление с этим GitHub Advisory Database идентификатором.
CVE-ID
[
CVE-2020-28482
](https://github.com/advisories?query=CVE-2020-28482) отобразит рекомендации с этим номером идентификатора CVE.
ecosystem:ECOSYSTEM
[
ecosystem:npm
](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) отображаются только рекомендации, влияющие на пакеты npm.
severity:LEVEL
[
severity:high
](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) будут отображаться только рекомендации с высоким уровнем серьезности.
affects:LIBRARY
[
affects:lodash
](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) отображаются только рекомендации, влияющие на библиотеку lodash.
cwe:ID
[
cwe:352
](https://github.com/advisories?query=cwe%3A352) будут отображаться только рекомендации с этим номером CWE.
credit:USERNAME
[
credit:octocat
](https://github.com/advisories?query=credit%3Aoctocat) будут отображаться только помощники, кредитуемые учетной записью пользователя octocat.
sort:created-asc
[
sort:created-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) сначала будет сортироваться по самым старым советникам.
sort:created-desc
[
sort:created-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) сначала будет сортироваться по новым рекомендациям.
sort:updated-asc
[
sort:updated-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) сначала будет сортироваться по наименее недавно обновленному.
sort:updated-desc
[
sort:updated-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) сначала будет сортироваться по последнему обновлению.
is:withdrawn
[
is:withdrawn
](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) отображаются только рекомендации, которые были отозваны.
created:YYYY-MM-DD
[
created:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) будут отображаться только рекомендации, созданные на этой дате.
updated:YYYY-MM-DD
[
updated:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) будут отображаться только рекомендации, обновленные на этой дате.

Квалификатор GHSA-ID — это уникальный идентификатор, который мы автоматически GitHub присваиваем каждому уведомлению в GitHub Advisory Database. Для получения дополнительной информации об этих идентификаторах см. раздел «О GitHub Advisory Database.

Просмотр ваших уязвимых репозиториев

Для любого GitHub-рассмотренного предупреждения в GitHub Advisory Database, вы можете увидеть, какие из ваших репозиториев затронуты этой уязвимостью безопасности или вредоносным ПО. Чтобы увидеть уязвимый репозиторий, вы должны иметь доступ к Dependabot alerts этому репозиторию. Дополнительные сведения см. в разделе Dependabot alerts.

1. Перейдите к https://github.com/advisories.
2. Щелкните рекомендацию.
3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot.

1. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. В выпадающем меню «Организация» можно отфильтровать Dependabot alerts по владельцам (организации или пользователю).
2. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.

Доступ к локальной консультативной базе данных по GitHub Enterprise Server

Если администратор вашего сайта включил GitHub Connect ваш экземпляр, вы также можете просматривать проверенные советы локально. Дополнительные сведения см. в разделе О GitHub Connect.

Вы можете использовать локальную базу данных рекомендаций, чтобы проверить, добавлена ли определенная уязвимость безопасности и, следовательно, будете ли вы получать оповещения об уязвимых зависимостях. Вы также можете просмотреть все уязвимые репозитории.

1. Перейдите по адресу https://HOSTNAME/advisories.

2. При необходимости используйте любое из раскрывающихся меню, чтобы отфильтровать список.

   Примечание.

   Будут перечислены только проверенные рекомендации. Непроверенные рекомендации можно просмотреть в GitHub Advisory Database on GitHub.com. Дополнительные сведения см. в статье "Доступ к рекомендации" в базе данных рекомендаций GitHub.

3. Щелкните рекомендацию, чтобы просмотреть подробные сведения. По умолчанию вы увидите GitHubпроверенные предупреждения по уязвимостям безопасности. Чтобы просмотреть рекомендации по вредоносным программам, укажите type:malware в строке поиска.

Вы также можете предлагать улучшения для включения в рекомендации непосредственно из локальной базы данных рекомендаций. Дополнительные сведения см. в разделе Изменение рекомендаций по безопасности в базе данных рекомендаций по GitHub.

Просмотр уязвимых репозиториев для вашего экземпляра

Владельцы предприятия должны включить Dependabot alerts для ваш экземпляр GitHub Enterprise Server, прежде чем использовать эту функцию. Дополнительные сведения см. в разделе Включение Dependabot для предприятия.

В локальной базе данных консультантов можно увидеть, какие репозитории влияют на каждую уязвимость безопасности или вредоносные программы. Чтобы увидеть уязвимый репозиторий, вы должны иметь доступ к Dependabot alerts этому репозиторию. Дополнительные сведения см. в разделе Dependabot alerts.

1. Перейдите по адресу https://HOSTNAME/advisories.
2. Щелкните рекомендацию.
3. В верхней части страницы рекомендаций щелкните Оповещения Dependabot.

1. При желании для фильтрации списка используйте строку поиска или раскрывающиеся меню. В выпадающем меню «Организация» можно отфильтровать Dependabot alerts по владельцам (организации или пользователю).
2. Чтобы получить дополнительные сведения о рекомендации по исправлению уязвимого репозитория, щелкните имя репозитория.