Skip to main content

Exploration des avis de sécurité dans la base de données GitHub Advisory

Vous pouvez parcourir la GitHub Advisory Database pour rechercher des CVE et des avis provenant de GitHub affectant le monde open source.

Accès à un avis dans la GitHub Advisory Database

Vous pouvez accéder à un avis dans la GitHub Advisory Database.

  1. Accédez à https://github.com/advisories.

  2. Si vous le souhaitez, pour filtrer la liste des avis, utilisez le champ de recherche ou les menus déroulants situés en haut de la liste.

    Remarque : vous pouvez utiliser la barre latérale de gauche pour explorer séparément les avis révisés par GitHub et les avis non révisés ou les filtrer par écosystème.

  3. Cliquez sur un avis pour en voir les détails. Par défaut, vous verrez les avis révisés par GitHub pour les vulnérabilités de sécurité. Pour afficher les avis sur les programmes malveillants, utilisez type:malware dans la barre de recherche.

La base de données est également accessible avec l’API GraphQL. Par défaut, les requêtes retournent les avis révisés par GitHub pour les vulnérabilités de sécurité sauf si vous spécifiez type:malware. Pour plus d’informations, consultez « Événements et charges utiles du webhook ».

En outre, vous pouvez accéder à GitHub Advisory Database à l’aide de l’API REST. Pour plus d’informations, consultez « Points de terminaison d’API REST pour les avis de sécurité globaux ».

Modification d’un avis dans la GitHub Advisory Database

Vous pouvez suggérer des améliorations pour un avis dans la GitHub Advisory Database. Pour plus d’informations, consultez « Modification des avis de sécurité dans la base de données d’avis de GitHub ».

Recherche dans la GitHub Advisory Database

Vous pouvez effectuer une recherche dans la base de données et utiliser des qualificateurs pour l’affiner. Par exemple, vous pouvez rechercher des avis créés à une certaine date, dans un écosystème spécifique ou dans une bibliothèque particulière.

La mise en forme de la date doit respecter la norme ISO8601, à savoir YYYY-MM-DD (année, mois, jour). Vous pouvez également ajouter des informations facultatives d’heure THH:MM:SS+00:00 après la date, pour rechercher par heure, minute et seconde. Il s’agit de T, suivi de HH:MM:SS (heures-minutes-secondes) et d’un décalage UTC (+00:00).

Lorsque vous recherchez une date, vous pouvez utiliser des qualificateurs supérieur à, inférieur à et de plage pour filtrer davantage les résultats. Pour plus d’informations, consultez « Compréhension de la syntaxe de recherche ».

QualificateurExemple
type:reviewedtype:reviewed affiche les avis révisés par GitHub pour les vulnérabilités de sécurité.
type:malwaretype:malware affiche les avis sur les programmes malveillants.
type:unreviewedtype:unreviewed affiche les avis non révisés.
GHSA-IDGHSA-49wp-qq6x-g2rf affiche l’avis avec cet ID de la GitHub Advisory Database.
CVE-IDCVE-2020-28482 affiche l’avis avec ce numéro d’ID de CVE.
ecosystem:ECOSYSTEMecosystem:npm affiche uniquement les avis affectant les packages npm.
severity:LEVELseverity:high affiche uniquement les avis avec un niveau de gravité élevé.
affects:LIBRARYaffects:lodash affiche uniquement les avis affectant la bibliothèque lodash.
cwe:IDcwe:352 affiche uniquement les avis portant ce numéro CWE.
credit:USERNAMEcredit:octocat affiche uniquement les avis crédités au compte d’utilisateur « octocat ».
sort:created-ascsort:created-asc trie les avis en montrant d’abord les plus anciens.
sort:created-descsort:created-desc trie les avis en montrant d’abord les plus récents.
sort:updated-ascsort:updated-asc effectue un tri par date de mise à jour la moins récente.
sort:updated-descsort:updated-desc effectue un tri par date de mise à jour la plus récente.
is:withdrawnis:withdrawn affiche uniquement les avis qui ont été retirés.
created:YYYY-MM-DDcreated:2021-01-13 affiche uniquement les avis créés à cette date.
updated:YYYY-MM-DDupdated:2021-01-13 affiche uniquement les avis mis à jour à cette date.

Un qualificateur GHSA-ID est un ID unique que GitHub attribue automatiquement à chaque avis dans la GitHub Advisory Database. Pour plus d’informations sur ces identificateurs, consultez « À propos de la GitHub Advisory Database ».

Affichage de vos dépôts vulnérables

Pour tout avis révisé par GitHub dans la GitHub Advisory Database, vous pouvez voir quels sont vos dépôts affectés par cette vulnérabilité de sécurité ou ce programme malveillant. Pour voir un dépôt vulnérable, vous devez avoir accès aux Dependabot alerts pour ce dépôt. Pour plus d’informations, consultez « À propos des alertes Dependabot ».

  1. Accédez à https://github.com/advisories.
  2. Cliquez sur un avis.
  3. En haut de la page de l’avis, cliquez sur Alertes Dependabot.
    Capture d’écran d’un « avis de sécurité global ». Le bouton « Alertes Dependabot » est mis en évidence à l’aide d’un rectangle orange.
  4. Si vous le souhaitez, pour filtrer la liste, utilisez la barre de recherche ou les menus déroulants. Le menu déroulant « Organisation » vous permet de filtrer les Dependabot alerts par propriétaire (organisation ou utilisateur).
  5. Pour plus d’informations sur l’avis et pour obtenir des conseils sur la façon de corriger le dépôt vulnérable, cliquez sur le nom du dépôt.