Você pode acessar qualquer aviso no Advisory Database.
Navegue até https://.com/advisories.
Opcionalmente, para filtrar a lista de avisos, use o campo de pesquisa ou os menus suspensos na parte superior da lista.
Observação
Você pode usar a barra lateral à esquerda para explorar os avisos examinados e não examinados do separadamente ou para filtrar por ecossistema.
Clique em um aviso para examinar as informações. Por padrão, você verá os avisos examinados pelo sobre vulnerabilidades de segurança. Para mostrar o avisos de malware, use
type:malwarena barra de pesquisa.
O banco de dados também pode ser acessado usando a API do GraphQL. Por padrão, as consultas retornarão avisos examinados pelo sobre vulnerabilidades de segurança, a menos que você especifique type:malware. Para obter mais informações, confira Eventos e cargas de webhook.
Além disso, você pode acessar o Advisory Database usando a API REST. Para saber mais, confira Pontos de extremidade de API REST para avisos de segurança globais.
Você pode sugerir melhorias para qualquer consultoria em Advisory Database. Para saber mais, confira Editando consultorias de segurança no banco de dados consultivo do .
Você pode procurar no banco de dados e usar qualificadores para limitar sua busca. Por exemplo, você pode procurar consultorias criadas em uma determinada data, em um ecossistema específico ou em uma biblioteca em particular.
A formatação de data precisa seguir o padrão ISO8601, que é YYYY-MM-DD (ano-mês-dia). Adicione também informações de hora THH:MM:SS+00:00 opcionais após a data, para fazer a pesquisa por hora, minuto e segundo. Isso é T, seguido de HH:MM:SS (hora-minutos-segundos) e uma diferença UTC (+00:00).
Ao pesquisar uma data, você pode usar qualificadores de maior que, menor que e intervalo para filtrar os resultados ainda mais. Para saber mais, confira Noções básicas de sintaxe de pesquisa.
| Qualificador | Exemplo |
|---|---|
type:reviewed | type:reviewed mostrará os avisos examinados pelo sobre vulnerabilidades de segurança. |
type:malware | type:malware mostrará avisos de malware. |
type:unreviewed | type:unreviewed mostrará avisos não verificados. |
GHSA-ID | GHSA-49wp-qq6x-g2rf mostrará o aviso com esta ID do Advisory Database. |
CVE-ID | CVE-2020-28482 mostrará o aviso com esse número de ID do CVE. |
ecosystem:ECOSYSTEM | ecosystem:npm mostrará apenas os avisos que afetam os pacotes do npm. |
severity:LEVEL | severity:high mostrará apenas os avisos com um nível de severidade alta. |
affects:LIBRARY | affects:lodash mostrará apenas os avisos que afetam a biblioteca lodash. |
cwe:ID | cwe:352 mostrará apenas os avisos com esse número de CWE. |
credit:USERNAME | credit:octocat mostrará apenas os avisos creditados à conta de usuário "octocat". |
sort:created-asc | sort:created-asc classificará primeiro pelos avisos mais antigos. |
sort:created-desc | sort:created-desc classificará primeiro pelos avisos mais recentes. |
sort:updated-asc | sort:updated-asc classificará pelo menos recentemente atualizado primeiro. |
sort:updated-desc | sort:updated-desc classificará pelo atualizado mais recentemente primeiro. |
is:withdrawn | is:withdrawn mostrará apenas os avisos que foram retirados. |
created:YYYY-MM-DD | created:2021-01-13 mostrará apenas os avisos criados nessa data. |
updated:YYYY-MM-DD | updated:2021-01-13 mostrará apenas os avisos atualizados nessa data. |
Um qualificador GHSA-ID é um ID exclusivo que o atribui automaticamente a cada aviso no Advisory Database. Para saber mais sobre esses identificadores, confira Sobre o Advisory Database.
Para qualquer aviso examinado pelo no Advisory Database, você pode ver qual dos repositórios são afetados por essa vulnerabilidade de segurança ou esse malware. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para saber mais, confira Sobre alertas do Dependabot.
- Navegue até https://.com/advisories.
- Clique em uma consultoria.
- Na parte superior da página do aviso, clique em Alertas do Dependabot.
- Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar Dependabot alerts por proprietário (organização ou usuário).
- Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.
Se o administrador do site tiver habilitado Connect para sua instância, você também poderá procurar avisos examinados localmente. Para saber mais, confira Sobre o Connect.
Você pode usar seu banco de dados de aviso local para verificar se uma vulnerabilidade de segurança específica está incluída e, portanto, se você receberia alertas para dependências vulneráveis. Você também pode exibir repositórios vulneráveis.
Navegue até
https://HOSTNAME/advisories.Opcionalmente, para filtrar a lista, use qualquer um dos menus suspensos.
Observação
Apenas avisos examinados serão listados. Os avisos não examinados podem ser exibidos em Advisory Database em .com. Para obter mais informações, confira Como acessar um aviso no Banco de Dados Consultivo do .
Clique em um aviso para examinar as informações. Por padrão, você verá os avisos examinados pelo sobre vulnerabilidades de segurança. Para mostrar o avisos de malware, use
type:malwarena barra de pesquisa.
Você também pode sugerir aprimoramentos em qualquer aviso diretamente do banco de dados de aviso local. Para saber mais, confira Editando consultorias de segurança no banco de dados consultivo do .
Os proprietários de empresa devem habilitar Dependabot alerts para o sua instância do Enterprise Server antes de usar esse recurso. Para saber mais, confira Habilitando o Dependabot para sua empresa.
No banco de dados de aviso local, você pode ver quais repositórios são afetados por cada vulnerabilidade de segurança ou malware. Para ver um repositório vulnerável, você deve ter acesso a Dependabot alerts para esse repositório. Para saber mais, confira Sobre alertas do Dependabot.
- Navegue até
https://HOSTNAME/advisories. - Clique em uma consultoria.
- Na parte superior da página do aviso, clique em Alertas do Dependabot.
- Opcionalmente, para filtrar a lista, use a barra de pesquisa ou os menus suspensos. O menu suspenso "Organização" permite filtrar Dependabot alerts por proprietário (organização ou usuário).
- Para obter mais detalhes sobre o aviso e para recomendações de como corrigir o repositório vulnerável, clique no nome do repositório.