Enterprise Server 3.21 目前作为发布候选版本提供。

在 GitHub Advisory Database 中浏览安全公告

您可以浏览 GitHub Advisory Database,查找影响开源领域的 CVE 和由 GitHub 发布的安全公告。

谁可以使用此功能?

任何人都可以浏览 GitHub Advisory Database。****

在本文中

在 GitHub Advisory Database 中访问公告

您可以在 GitHub Advisory Database 中查看任何通告。

  1. 导航到 https://github.com/advisories

  2. (可选)要筛选公告列表,请使用搜索字段或列表顶部的下拉菜单。

    注意

    可以使用左侧边栏单独浏览 GitHub已审阅和未查看的公告,或按生态系统进行筛选。

  3. 单击任何公告以查看详细信息。 默认情况下,将显示经 GitHub 审核的安全漏洞相关安全公告。 要显示恶意软件通告,请在搜索栏中使用 type:malware

也可以使用 GraphQL API 访问数据库。 默认情况下,查询将返回经GitHub审核的安全漏洞公告,除非您指定type:malware。 有关详细信息,请参阅 Webhook 事件和有效负载

此外,还可以使用 REST API 访问 GitHub Advisory Database 。 有关详细信息,请参阅“适用于全局安全公告的 REST API 终结点”。

在 GitHub Advisory Database 中编辑公告

您可以在 GitHub Advisory Database 中对任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

搜索 GitHub Advisory Database

你可以搜索数据库,并使用限定符缩小搜索范围。 例如,你可以搜索在特定日期、特定生态系统或特定库中创建的通告。

日期格式必须遵循 ISO8601 标准,即 YYYY-MM-DD(年-月-日)。 也可以在日期后添加可选的时间信息 THH:MM:SS+00:00,以按小时、分钟和秒进行搜索。 即 T,随后是 HH:MM:SS(时-分-秒)和 UTC 时差 (+00:00)。

搜索日期时,可以使用大于、小于和范围限定符来进一步筛选结果。 有关详细信息,请参阅“了解搜索语法”。

限定符示例
type:reviewed
[
type:reviewed
](https://github.com/advisories?query=type%3Areviewed)将显示经GitHub审核的安全漏洞安全公告。
type:malware
[
type:malware
](https://github.com/advisories?query=type%3Amalware) 将显示恶意软件通告。
type:unreviewed
[
type:unreviewed
](https://github.com/advisories?query=type%3Aunreviewed) 将显示未审核的通告。
GHSA-ID
[
GHSA-49wp-qq6x-g2rf
](https://github.com/advisories?query=GHSA-49wp-qq6x-g2rf) 将显示具有此 GitHub Advisory Database ID 的公告。
CVE-ID
[
CVE-2020-28482
](https://github.com/advisories?query=CVE-2020-28482) 将显示具有此 CVE ID 编号的通告。
ecosystem:ECOSYSTEM
[
ecosystem:npm
](https://github.com/advisories?utf8=%E2%9C%93&query=ecosystem%3Anpm) 仅显示影响 npm 包的通告。
severity:LEVEL
[
severity:high
](https://github.com/advisories?utf8=%E2%9C%93&query=severity%3Ahigh) 仅显示严重级别为高的通告。
affects:LIBRARY
[
affects:lodash
](https://github.com/advisories?utf8=%E2%9C%93&query=affects%3Alodash) 仅显示影响 lodash 库的通告。
cwe:ID
[
cwe:352
](https://github.com/advisories?query=cwe%3A352) 仅显示具有此 CWE 编号的通告。
credit:USERNAME
[
credit:octocat
](https://github.com/advisories?query=credit%3Aoctocat) 仅显示鸣谢“octocat”用户帐户的通告。
sort:created-asc
[
sort:created-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-asc) 按通告发布时间从早到晚排序。
sort:created-desc
[
sort:created-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Acreated-desc) 按通告发布时间从晚到早排序。
sort:updated-asc
[
sort:updated-asc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-asc) 按最近更新时间从早到晚排序。
sort:updated-desc
[
sort:updated-desc
](https://github.com/advisories?utf8=%E2%9C%93&query=sort%3Aupdated-desc) 按最近更新时间从晚到早排序。
is:withdrawn
[
is:withdrawn
](https://github.com/advisories?utf8=%E2%9C%93&query=is%3Awithdrawn) 仅显示已撤回的通告。
created:YYYY-MM-DD
[
created:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=created%3A2021-01-13) 仅显示在此日期创建的通告。
updated:YYYY-MM-DD
[
updated:2021-01-13
](https://github.com/advisories?utf8=%E2%9C%93&query=updated%3A2021-01-13) 仅显示在此日期更新的通告。

GHSA-ID 限定符是我们在 GitHub 为 GitHub Advisory Database 中每条公告自动分配的唯一 ID。 有关这些标识符的详细信息,请参阅“关于”。GitHub Advisory Database

查看有漏洞的仓库

对于 GitHub 中任何经 GitHub Advisory Database 审核的安全公告,您都可以查看您的哪些代码库受到了该安全漏洞或恶意软件的影响。 若要查看易受攻击的存储库,必须有权访问 Dependabot alerts 该存储库。 有关详细信息,请参阅“Dependabot alerts”。

  1. 导航到 https://github.com/advisories
  2. 单击通告。
  3. 在通告页面顶部,单击“Dependabot 警报”****。

“全局安全通告”的屏幕截图。 “Dependabot 警报”按钮以橙色轮廓突出显示。

  1. (可选)要筛选列表,请使用搜索栏或下拉菜单。 “组织”下拉菜单允许您按所有者(组织或用户)筛选 Dependabot alerts。
  2. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。

在 GitHub Enterprise Server 上访问本地公告数据库

如果你的站点管理员已为你的实例启用 GitHub Connect,你还可以在本地浏览经审查的公告。 有关详细信息,请参阅“关于 GitHub Connect”。

可使用本地公告数据库来检查是否包含特定的安全漏洞,从而检查是否会收到有关易受攻击的依赖项的警报。 还可以查看任何易受攻击的存储库。

  1. 转到 https://HOSTNAME/advisories

  2. (可选)要筛选列表,请使用任意下拉菜单。

    注意

    仅列出经审核的通告。 可在 GitHub Advisory Database 的 GitHub.com 中查看未审阅的公告。 有关详细信息,请参阅在 GitHub Advisory Database 中访问通告

  3. 单击任何公告以查看详细信息。 默认情况下,您将看到经 GitHub 审核的安全漏洞公告。 要显示恶意软件通告,请在搜索栏中使用 type:malware

还可以直接从本地公告数据库中对任何公告提出改进建议。 有关详细信息,请参阅“在 GitHub Advisory Database 中编辑安全公告”。

查看实例的易受攻击存储库

企业所有者必须对Dependabot alerts启用你的 GitHub Enterprise Server 实例,然后才能使用此功能。 有关详细信息,请参阅“为企业启用 Dependabot”。

在本地通告数据库中,你可以查看每个安全漏洞或恶意软件影响哪些存储库。 若要查看易受攻击的存储库,必须有权访问 Dependabot alerts 该存储库。 有关详细信息,请参阅“Dependabot alerts”。

  1. 转到 https://HOSTNAME/advisories
  2. 单击通告。
  3. 在通告页面顶部,单击“Dependabot 警报”****。

“全局安全通告”的屏幕截图。 “Dependabot 警报”按钮以橙色轮廓突出显示。

  1. (可选)要筛选列表,请使用搜索栏或下拉菜单。 “组织”下拉菜单允许按所有者(组织或用户)筛选 Dependabot alerts。
  2. 有关公告的更多详细信息,以及有关如何修复有漏洞的存储库的建议,请单击存储库名称。