Exploración de los avisos de seguridad en GitHub Advisory Database

Puede examinar GitHub Advisory Database para buscar CVE y GitHub originados que afectan al mundo de código abierto.

¿Quién puede utilizar esta característica?

Cualquiera puede examinar GitHub Advisory Database.

En este artículo

Acceder a una asesoría en la GitHub Advisory Database

Puedes acceder a una asesoría en la GitHub Advisory Database.

  1. Vaya a https://github.com/advisories.

  2. Opcionalmente, para filtrar la lista de avisos, utiliza el campo de búsqueda o los menús desplegables en la parte superior de la lista.

    Nota:

    Puede utilizar la barra lateral de la izquierda para explorar los avisos revisados por GitHub y los no revisados por separado, o para filtrar por ecosistema.

  3. Haz clic en cualquier aviso para ver los detalles. De manera predeterminada, verás avisos revisados por GitHub para las vulnerabilidades de seguridad. Si quieres ver los avisos de malware, usa type:malware en la barra de búsqueda.

También se puede acceder a la base de datos utilizando la API de GraphQL. De manera predeterminada, las consultas devolverán avisos revisados por GitHub para las vulnerabilidades de seguridad, a menos que especifiques type:malware. Para obtener más información, consulte Eventos y cargas de webhook.

Además, puedes acceder a GitHub Advisory Database mediante la API REST. Para más información, consulta Puntos de conexión de API de REST para avisos de seguridad globales.

Editar una asesoría en la GitHub Advisory Database

Puedes sugerir mejoras a cualquier asesoría en la GitHub Advisory Database. Para más información, consulta Edición de avisos de seguridad en la base de avisos de GitHub.

Buscar en la GitHub Advisory Database por coincidencia exacta

Puedes buscar la base de datos y utilizar los calificadores para definir más tu búsqueda. Por ejemplo, puedes buscar las asesorías que se hayan creado en una fecha, ecosistema o biblioteca específicos.

El formato de fecha debe seguir el estándar ISO8601, que es YYYY-MM-DD (año-mes-día). También puede agregar información de tiempo opcional THH:MM:SS+00:00 después de la fecha, para buscar por hora, minuto y segundo. Esto es, T, seguido de HH:MM:SS (hora-minutos-segundos) y una diferencia horaria con UTC (+00:00).

Cuando buscas una fecha, puedes utilizar los calificadores de mayor qué, menor qué y rango para filtrar aún más los resultados. Para más información, consulta Entender la sintaxis de búsqueda.

Calificador:Example
type:reviewed
          [
          `type:reviewed`
          ](https://github.com/advisories?query=type%3Areviewed) mostrará avisos revisados por GitHub para las vulnerabilidades de seguridad. |

| type:malware | type:malware mostrará avisos de software malicioso. | | type:unreviewed| type:unreviewed mostrará avisos no revisados. | | GHSA-ID| GHSA-49wp-qq6x-g2rf mostrará el aviso con este id. de GitHub Advisory Database. | | CVE-ID| CVE-2020-28482 mostrará el aviso con este número de id. de CVE. | | ecosystem:ECOSYSTEM| ecosystem:npm mostrará solo los avisos que afecten a los paquetes de NPM. | | severity:LEVEL| severity:high solo mostrará avisos con un nivel de gravedad alto. | | affects:LIBRARY| affects:lodash mostrará solo avisos que afecten a la biblioteca lodash. | | cwe:ID| cwe:352 solo mostrará avisos con este número de CWE. | | credit:USERNAME| credit:octocat solo mostrará avisos acreditados en la cuenta de usuario "octocat". | | sort:created-asc| sort:created-asc ordenará primero por los avisos más antiguos. | | sort:created-desc| sort:created-desc ordenará primero por los avisos más recientes. | | sort:updated-asc| sort:updated-asc ordenará primero por la actualización menos reciente. | | sort:updated-desc| sort:updated-desc ordenará primero por la actualización más reciente. | | is:withdrawn| is:withdrawn mostrará solo los avisos que se han retirado. | | created:YYYY-MM-DD| created:2021-01-13 mostrará solo los avisos creados en esta fecha. | | updated:YYYY-MM-DD| updated:2021-01-13 mostrará solo los avisos actualizados en esta fecha. |

Un calificador GHSA-ID es un identificador único que en GitHub asignamos automáticamente a cada aviso de la GitHub Advisory Database. Para obtener más información sobre estos identificadores, consulte Acerca de GitHub Advisory Database.

Visualizar tus repositorios vulnerables

Para cualquier aviso revisado por GitHub en GitHub Advisory Database, puedes ver cuáles de los repositorios se ven afectados por ese malware o esa vulnerabilidad de seguridad. Para ver un repositorio vulnerable, debes tener acceso a las Dependabot alerts de este. Para más información, consulta Acerca de las alertas Dependabot.

  1. Vaya a https://github.com/advisories.

  2. Haz clic en una asesoría.

  3. En la parte superior de la página de advertencias, haga clic en Dependabot alerts (Alertas de Dependabot).

           ![Captura de pantalla de un "aviso de seguridad global". El botón "Alertas de Dependabot" está resaltado con un contorno naranja.](/assets/images/help/security/advisory-database-dependabot-alerts.png)

  4. Opcionalmente, para filtrar la lista, utiliza la barra de búsqueda o los menús desplegables. El menú desplegable de "Organización" te permite filtrar las Dependabot alerts por propietario (organización o usuario).

  5. Para más detalles sobre el aviso y consejos sobre cómo corregir el repositorio vulnerable, haz clic en el nombre del repositorio.

Acceso a la base de datos local de avisos en GitHub Enterprise Server

Si el administrador del sitio ha habilitado GitHub Connect para su instancia, también puede analizar los avisos revisados localmente. Para más información, consulta Acerca de GitHub Connect.

Puede usar la base de datos de avisos local para comprobar si se incluye una vulnerabilidad de seguridad específica y, por tanto, si recibirás alertas de las dependencias vulnerables. También puedes ver cualquier repositorio vulnerable.

  1. Navegue a https://HOSTNAME/advisories.

  2. Opcionalmente, para filtrar la lista, utiliza cualquiera de los menúes desplegables.

    Nota:

    Solo se mostrarán los avisos revisados. Los avisos no revisados se pueden ver en GitHub Advisory Database en GitHub.com. Para obtener más información, consulte Acceso a un aviso en la base de datos de avisos de GitHub.

  3. Haz clic en cualquier aviso para ver los detalles. De manera predeterminada, verás avisos revisados por GitHub para las vulnerabilidades de seguridad. Si quieres ver los avisos de malware, usa type:malware en la barra de búsqueda.

También puedes sugerir mejoras en cualquier aviso directamente desde la base de datos de avisos local. Para más información, consulta Edición de avisos de seguridad en la base de avisos de GitHub.

Visualización de repositorios vulnerables para la instancia

Los propietarios de empresa deben habilitar Dependabot alerts para tu instancia de GitHub Enterprise Server antes de poder usar esta característica. Para más información, consulta Habilitación de Dependabot para la empresa.

En la base de datos local de avisos, puede ver qué repositorios se ven afectados por cada vulnerabilidad de seguridad o software malicioso. Para ver un repositorio vulnerable, debes tener acceso a las Dependabot alerts de este. Para más información, consulta Acerca de las alertas Dependabot.

  1. Navegue a https://HOSTNAME/advisories.

  2. Haz clic en una asesoría.

  3. En la parte superior de la página de advertencias, haga clic en Dependabot alerts (Alertas de Dependabot).

           ![Captura de pantalla de un "aviso de seguridad global". El botón "Alertas de Dependabot" está resaltado con un contorno naranja.](/assets/images/help/security/advisory-database-dependabot-alerts.png)

  4. Opcionalmente, para filtrar la lista, utiliza la barra de búsqueda o los menús desplegables. El menú desplegable de "Organización" te permite filtrar las Dependabot alerts por propietario (organización o usuario).

  5. Para más detalles sobre el aviso y consejos sobre cómo corregir el repositorio vulnerable, haz clic en el nombre del repositorio.