ドキュメントには頻繁に更新が加えられ、その都度公開されています。本ページの翻訳はまだ未完成な部分があることをご了承ください。最新の情報については、英語のドキュメンテーションをご参照ください。本ページの翻訳に問題がある場合はこちらまでご連絡ください。

GitHub Advisory Database のセキュリティ脆弱性を参照する

GitHub Advisory Database を使用すると、GitHub のオープンソースプロジェクトに影響を与える脆弱性を参照または検索できます。

ここには以下の内容があります:

GitHub Advisory Database について

脆弱性とは、プロジェクトあるいはそのコードを利用する他のプロジェクトにおいて、秘密性、一貫性、可用性を損なうために悪用されうる、プロジェクトコードの問題です。GitHub Advisory Database には、GitHub の依存関係グラフによって追跡される任意のパッケージにマップされたセキュリティの脆弱性のキュレーションされたリストが含まれています。 各アドバイザリリストには、影響を受けるリポジトリや、脆弱なパッチが適用されたバージョンなどの情報が含まれています。 データベースは、GraphQL API を使用してアクセスすることもできます。 For more information, see the "security_advisory webhook event" in GitHub 開発者ドキュメンテーション.

GitHub Advisory Databaseへの脆弱性の追加には、以下のソースを利用します。

  • National Vulnerability Database
  • GitHub上のパブリックなコミット内の脆弱性の検出に、機械学習と人間によるレビューの組み合わせ
  • GitHub上のセキュリティアドバイザリ
  • FriendsOfPHP

リポジトリに影響を与える GitHub Advisory Database の脆弱性が検出された場合、GitHub からセキュリティアラートが送信されます。 詳しい情報については、「脆弱性のある依存関係に対するセキュリティアラートについて」を参照してください。

National Vulnerability Database リストのアドバイザリには、脆弱性、その CVSS スコア、その定性的な重大度レベルの詳細を確認できる CVE レコードへのリンクが含まれます。 詳しい情報については、アメリカ国立標準技術研究所の「National Vulnerability Database"」を参照してください。

重要度のレベルは Common Vulnerability Scoring System (CVSS), Section 2.1.2 で定義されている 4 つのレベルのいずれかです。

  • Low
  • Moderate
  • High
  • Critical

GitHub Security Labに加わり、セキュリティ関連のトピックをブラウズし、セキュリティのツールやプロジェクトに貢献することもできます。

GitHub Advisory Database のアドバイザリにアクセスする

  1. Https://github.com/advisories にアクセスします。
  2. 必要に応じて、リストの使用をフィルタするには、ドロップダウンメニューを使います。
    ドロップダウンフィルタ
  3. アドバイザリをクリックして詳細を表示します。

GitHub Advisory Database を検索する

データベースを検索し、修飾子を使用して、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリに検索を絞り込むことができます。

日付の形式は ISO8601標準に従い、YYYY-MM-DD(年-月-日) とする必要があります。 オプションの時間情報のTHH:MM:SS+00:00を日付の後に付けて、時、分、秒で検索できるようにすることもできます。 これはTの後にHH:MM:SS(時-分-秒)、そしてUTCオフセット(+00:00)を続けたものです。

日付では大なり、小なりおよび範囲指定を使用できます。

修飾子サンプル
ecosystem:ECOSYSTEMecosystem:npm は、NPM パッケージに影響するアドバイザリのみを表示します。
severity:LEVELseverity:high は、重大度レベルが高いアドバイザリのみを表示します。
affects:LIBRARYaffects:lodash は、lodash ライブラリに影響するアドバイザリのみを表示します。
sort:created-ascsort:created-asc は、一番古いアドバイザリを最初にソートします。
sort:created-descsort:created-desc は、一番新しいアドバイザリを最初にソートします。
sort:updated-ascsort:updated-asc は、最近で最も更新されていないものを最初にソートします。
sort:updated-descsort:updated-desc は、最も直近で更新されたものを最初にソートします。
is:withdrawnis:withdrawn は、撤回されたアドバイザリのみを表示します。
created:YYYY-MM-DDcreated:2019-10-31 は、この日に作成されたアドバイザリのみを表示します。
updated:YYYY-MM-DDupdated:2019-10-31 は、この日に更新されたアドバイザリのみを表示します。

担当者にお尋ねください

探しているものが見つからなかったでしょうか?

弊社にお問い合わせください