我们经常发布文档更新,此页面的翻译可能仍在进行中。有关最新信息,请访问英文文档。如果此页面上的翻译有问题,请告诉我们

关于对有漏洞的依赖项发出安全警报

GitHub 可跟踪某些依赖项中报告的漏洞,并对受影响的仓库提供安全警报。

本文内容

关于安全漏洞

漏洞是项目代码中的问题,可能被利用来损害机密性、完整性或者该项目或其他使用其代码的项目的可用性。 根据漏洞的严重性和项目使用依赖项的方式,漏洞可能对项目或者使用项目的人员造成一系列问题。 您可以跟踪并解决 GitHub 仓库中某些依赖项类型的漏洞。

漏洞依赖项的警报和自动安全修复

当 GitHub 发现新漏洞或收到相关通知时,我们会识别使用受影响依赖项版本的公共仓库(和已经选择加入漏洞检测的私有仓库),发送安全警报给仓库维护员,然后生成自动安全修复。

每个安全警报都包含严重等级、项目中受影响文件的链接、其中包含可解决漏洞的自动安全修复的拉取请求链接。 可用时,警报会包含有关漏洞的更多详细信息。

您可以在仓库的 Alerts(警报)选项卡或仓库的依赖项图表中查看影响特定项目的所有警报。更多信息请参阅“查看和更新仓库中的漏洞依赖项”。

默认情况下,我们会向具有受影响仓库管理员权限的人员发送安全警报。 GitHub 从不公开披露在任何仓库中发现的漏洞。 您也可以对操作组织拥有的仓库的其他人或团队启用安全警报。 更多信息请参阅“管理组织仓库中漏洞依赖项的警报”。

Automated security fixes update vulnerable dependencies to the minimum version that resolves the vulnerability. 自动安全修复会在使用依赖项图表和安全警报的仓库中自动启用,但您可以选择禁用自动拉取请求,改为手动生成安全修复。 更多信息请参阅“配置自动安全修复”。

GitHub 默认会检查公共仓库中有漏洞的依赖项并发出警报。 要接收私有仓库中漏洞依赖项的安全警报,该仓库的所有者或具有管理员权限的人员必须在仓库中启用依赖项图表和安全警报。 更多信息请参阅“选择加入或退出私有仓库的数据使用”。

有关 GitHub 可以检测漏洞和依赖项的受支持语言列表,请参阅“列出仓库所依赖的包”。

:GitHub 的安全功能(如安全警报)并不要求捕获所有漏洞。 虽然我们一直在努力更新漏洞数据库,向您提醒最新的信息,但我们无法捕获一切或在保证的时间范围内向您警示已知的漏洞。 这些功能不是要替代人工检查每个依赖项的潜在漏洞或任何其他问题,并且我们建议在必要时咨询安全服务或全面检查漏洞。

安全警报的数据来源

GitHub uses the following sources to track vulnerabilities in packages from supported languages:

从 CVE 列表中的项目创建的安全警报中包含 CVE 记录链接,通过链接可以查看漏洞、其 CVSS 得分及其质化严重等级的更多详细信息。 我们在常见漏洞评分系统 (CVSS) 第 2.1.2 节中定义了以下四种可能的严重性等级:

  • 关键

配置安全警报通知

默认情况下,您每周会收到一封电子邮件,其中摘要列出最多 10 个仓库的安全警报。 您也可以选择通过个别电子邮件、每日摘要电子邮件、web 通知或 GitHub 用户界面接收安全警报。 更多信息请参阅“选择通知的递送方式”。

延伸阅读

问问别人

找不到要找的内容?

联系我们