Acessar uma consultoria no GitHub Advisory Database
Você pode acessar qualquer aviso no GitHub Advisory Database.
-
Navegue até https://github.com/advisories.
-
Opcionalmente, para filtrar a lista de avisos, use o campo de pesquisa ou os menus suspensos na parte superior da lista.
Observação
Você pode usar a barra lateral à esquerda para explorar separadamente os avisos revisados e não revisados da GitHub ou para filtrar por ecossistema.
-
Clique em um aviso para examinar as informações. Por padrão, você verá os avisos examinados pelo GitHub sobre vulnerabilidades de segurança. Para mostrar o avisos de malware, use
type:malwarena barra de pesquisa.
O banco de dados também pode ser acessado usando a API do GraphQL. Por padrão, as consultas retornarão avisos examinados pelo GitHub sobre vulnerabilidades de segurança, a menos que você especifique type:malware. Para obter mais informações, confira Eventos e cargas de webhook.
Além disso, você pode acessar o GitHub Advisory Database usando a API REST. Para saber mais, confira Pontos de extremidade de API REST para avisos de segurança globais.
Editando uma consultoria em GitHub Advisory Database
Você pode sugerir melhorias para qualquer consultoria em GitHub Advisory Database. Para saber mais, confira Editando consultorias de segurança no banco de dados consultivo do GitHub.
Pesquisar em GitHub Advisory Database
Você pode procurar no banco de dados e usar qualificadores para limitar sua busca. Por exemplo, você pode procurar consultorias criadas em uma determinada data, em um ecossistema específico ou em uma biblioteca em particular.
A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).
Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para saber mais, confira Noções básicas de sintaxe de pesquisa.
| Qualificador | Example |
|---|---|
type:reviewed | type:reviewed exibirá avisos revisados por GitHub sobre vulnerabilidades de segurança. |
type:malware | type:malware exibirá avisos de malware. |
type:unreviewed | type:unreviewed exibirá avisos não revisados. |
GHSA-ID | GHSA-49wp-qq6x-g2rf exibirá o aviso com este ID GitHub Advisory Database. |
CVE-ID | CVE-2020-28482 exibirá o aviso com este número de identificação CVE. |
ecosystem:ECOSYSTEM | ecosystem:npm mostrará apenas avisos que afetam pacotes npm. |
severity:LEVEL | severity:high mostrará apenas os avisos com alto nível de gravidade. |
affects:LIBRARY | affects:lodash Mostrará apenas os avisos que afetam a biblioteca lodash. |
cwe:ID | cwe:352 mostrará apenas os avisos com este número CWE. |
credit:USERNAME | credit:octocat mostrarão apenas os avisos creditados à conta de usuário "octocat". |
sort:created-asc | sort:created-asc será classificado pelas recomendações mais antigas. |
sort:created-desc | sort:created-desc será classificado primeiro pelos avisos mais recentes. |
sort:updated-asc | sort:updated-asc será classificado da menos atualizada para a mais recente. |
sort:updated-desc | sort:updated-desc será classificada da mais recente para a mais antiga. |
is:withdrawn | is:withdrawn mostrará apenas os avisos que foram retirados. |
created:YYYY-MM-DD | created:2021-01-13 mostrará apenas os avisos criados nesta data. |
updated:YYYY-MM-DD | updated:2021-01-13 mostrará apenas os avisos atualizados nesta data. |
Um qualificador GHSA-ID é um ID exclusivo que o GitHub atribui automaticamente a cada aviso no GitHub Advisory Database. Para obter mais informações sobre esses identificadores, consulte Sobre o GitHub Advisory Database.
Visualizar seus repositórios vulneráveis
Para qualquer aviso examinado pelo GitHub no GitHub Advisory Database, você pode ver qual dos repositórios são afetados por essa vulnerabilidade de segurança ou esse malware. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para saber mais, confira Sobre alertas do Dependabot.
- Navegue até https://github.com/advisories.
- Clique em uma consultoria.
- Na parte superior da página do aviso, clique em Alertas do Dependabot.
- Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar Dependabot alerts por proprietário (organização ou usuário).
- Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.
