グローバル セキュリティ アドバイザリについて

グローバル セキュリティ アドバイザリとは、GitHub Advisory Database にあるオープンソース全体に影響を及ぼす CVE と GitHub が発行したアドバイザリを指します。

この記事で

グローバル セキュリティ アドバイザリについて

アドバイザリには、グローバル セキュリティ アドバイザリとリポジトリ セキュリティ アドバイザリの 2 種類があります。 グローバル アドバイザリは、GitHub Advisory Database に格納されており、2 つのカテゴリに分類されています。

          GitHubレビューされた** アドバイザリは、サポートされているエコシステム内のパッケージにマップされます。 各アドバイザリの有効性を慎重に確認し、完全な説明とエコシステムとパッケージ情報の両方が含まれていることを確認します。
  • 未確認の アドバイザリは、National Vulnerability Database フィードから直接、 GitHub Advisory Databaseに自動的に発行されます。
  • マルウェア アドバイザリは、マルウェアによって引き起こされる脆弱性に関連し、 npm エコシステムに限定されます。 私たちは、npm セキュリティ チームから提供された情報をもとに、GitHub Advisory Database に自動的に公開します。

メモ

Dependabot は、レビューされていないアドバイザリとマルウェア アドバイザリ に対して Dependabot alerts を生成しません。

すべてのリポジトリアドバイザリは、GitHub Security Labキュレーションチームによって、世界的な勧告として検討されます。 依存関係グラフでサポートされているエコシステムのセキュリティ アドバイザリをGitHub Advisory Database に公開します。

誰でも、グローバル セキュリティ アドバイザリの改善を提案できます。 影響を受けるエコシステム、重大度レベル、または影響を受けるユーザーの説明など、任意の詳細を編集または追加できます。 GitHub Security Lab キュレーション チームは、送信された改善点を確認します。

次のステップ

GitHub Advisory Database でアドバイザリにアクセスします。 「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。

詳細については、次を参照してください。

  •         [AUTOTITLE](/code-security/security-advisories/working-with-repository-security-advisories/about-repository-security-advisories)