Hallo, Entdecker! An dieser Seite wird aktiv gearbeitet, oder sie wird noch übersetzt. Die neuesten und genauesten Informationen findest Du in unserer englischsprachigen Dokumentation.

Nach Produkt erkunden

GitHub.com
Deutsch (German)

Sicherheitslücken in der GitHub Advisory Database durchsuchen

Die GitHub Advisory Database erlaubt Dir, nach Schwachstellen zu suchen, die Open-Source-Projekte auf GitHub betreffen.

Inhalt dieses Artikels

Were you able to find what you were looking for?

Informationen zu GitHub Advisory Database

Eine Sicherheitslücke ist ein Problem im Code eines Projekts, das ausgenutzt werden könnte, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Projekts oder anderer Projekte, die seinen Code verwenden, zu beeinträchtigen. Die GitHub Advisory Database enthält eine kuratierte Liste von Sicherheitslücken, die allen Paketen zugeordnet wurden, welche durch das Abhängigkeitsdiagramm von GitHub verfolgt werden. Jede Hinweisliste enthält Informationen wie zum Beispiel das betroffene Repository sowie die verwundbaren und korrigierten Versionen. Die Datenbank ist auch über die GraphQL-API zugänglich. For more information, see the "security_advisory webhook event" in die GitHub-Entwicklerdokumentation.

Wir verwenden die folgenden Quellen, um Sicherheitsrisiken zu GitHub Advisory Database hinzuzufügen:

  • Die National Vulnerability Database (Nationale Sicherheitsrisiken-Datenbank)
  • Eine Kombination aus maschinellem Lernen und menschlichem Review zum Erkennen von Sicherheitsrisiken in öffentlichen Commits auf GitHub
  • Sicherheitshinweise auf GitHub
  • FriendsOfPHP

GitHub sendet Dir eine Sicherheitswarnung, wenn wir eine Verwundbarkeit auf GitHub Advisory Database entdecken, die Dein Repository betrifft. Weitere Informationen findest Du auf „Über Sicherheitswarnungen für angreifbare Abhängigkeiten."

Hinweise aus der Liste der 'National Vulnerability Database' (Nationale Schwachstellen-Datenbank) werden einen Link zum CVE-Eintrag enthalten, wo Du weitere Details über die Verwundbarkeit, seine CVSS-Werte und seinen qualitativen Schweregrad lesen kannst. Weitere Informationen findest Du unter „National Vulnerability Database" (Nationale Schwachstellen-Datenbank) des 'National Institute of Standards and Technology' (Amerikanisches Nationales Institut für Standards und Technologie).

Es gibt vier mögliche Schweregrade, die im Common Vulnerability Scoring System (CVSS), Abschnitt 2.1.2 (Allgemeines Schwachstellen-Bewertungssystem) definiert sind:

  • Niedrig
  • Mittel
  • Hoch
  • Kritisch

Du kannst Dich auch GitHub Security Lab anschließen, um sicherheitsrelevante Themen zu durchsuchen und zu Sicherheitswerkzeugen und -Projekten beizutragen.

Zugriff auf einen Hinweis in der GitHub Advisory Database

  1. Navigiere zu „https://github.com/advisories“.
  2. Benutze optional eines der Dropdownmenüs zum Filtern der Liste.
    Dropdownmenüs zum filtrieren
  3. Klicke auf irgendeinen Hinweis, um die Details zu sehen.

Durchsuche die GitHub Advisory Database

Du kannst die Datenbank durchsuchen und mit den Qualifizierern Deine Suche auf Hinweise einschränken, die an einem bestimmten Datum, in einem bestimmten Ökosystem oder in einer bestimmten Bibliothek erstellt wurden.

Die Datumsformatierung muss dem ISO8601-Standard entsprechen, der YYYY-MM-DD (Jahr-Monat-Tag) ist. Du kannst nach dem Datum auch optionale Zeitinformationen THH:MM:SS+00:00 hinzufügen, um nach der Stunde, Minute und Sekunde zu suchen. Das ist T, gefolgt von HH:MM:SS (Stunden:Minuten:Sekunden) und einem UTC-Offset (+00:00).

Datumsangaben unterstützen „größer als", „kleiner als" und Bereichsqualifizierer.

QualifiziererBeispiel
ecosystem:ÖKOSYSTEMecosystem:npm wird nur Hinweise zeigen, die NPM Pakete betreffen.
severity:STUFEseverity:high wird nur Hinweise mit einer Schweregrad von Hoch zeigen.
affects:BIBLIOTHEKaffects:lodash wird nur Hinweise anzeigen, die die lodash Bibliothek betreffen.
sort:created-ascsort:created-asc sortiert nach ältesten Hinweisen zuerst.
sort:created-descsort:created-desc sortiert nach neuesten Hinweisen zuerst.
sort:updated-ascsort:updated-asc sortiert nach den ältesten Aktualisierungen von Hinweisen zuerst.
sort:updated-descsort:updated-desc sortiert nach den neuesten Aktualisierungen von Hinweisen zuerst.
is:withdrawnis:withdrawn zeigt nur zurückgezogene Hinweise.
created:YYYY-MM-DDcreated:2019-10-31 zeigt nur Hinweise, die an diesem Datum erstellt wurden.
updated:YYYY-MM-DDupdated:2019-10-31 zeigt nur Hinweise, die an diesem Datum aktualisiert wurden.

Were you able to find what you were looking for?

Menschliche Unterstützung einholen

Du kannst das Gesuchte nicht finden?

Kontakt

Produkt

Plattform

Unterstützung

Unternehmen