グローバル セキュリティ アドバイザリについて
グローバル アドバイザリは、GitHub Advisory Database に格納されており、2 つのカテゴリに分類されています。
- GitHubでレビュー済みの アドバイザリは、当社がサポートするエコシステム内のパッケージにマッピングされています。 各アドバイザリの有効性を慎重に確認し、完全な説明とエコシステムとパッケージ情報の両方が含まれていることを確認します。
- 未審査のアドバイザリは、国立脆弱性データベース フィードから直接GitHub Advisory Databaseに自動的に公開されます。
- マルウェア アドバイザリは、マルウェアによって引き起こされる脆弱性に関連し、 npm エコシステムに限定されます。 npm セキュリティ チームが提供した情報に基づいて、GitHub Advisory Database に直接自動的に発行されます。
メモ
Dependabot は、レビューされていないアドバイザリとマルウェア アドバイザリ に対して Dependabot alerts を生成しません。
すべてのリポジトリアドバイザリは、GitHub Security Labキュレーションチームによって、世界的な勧告として検討されます。 依存関係グラフでサポートされているエコシステムのセキュリティ アドバイザリをGitHub Advisory Database に公開します。
誰でも、グローバル セキュリティ アドバイザリの改善を提案できます。 影響を受けるエコシステム、重大度レベル、または影響を受けるユーザーの説明など、任意の詳細を編集または追加できます。 GitHub Security Lab キュレーション チームは、送信された改善点を確認します。
次のステップ
GitHub Advisory Database でアドバイザリにアクセスします。 「GitHub Advisory Database でのセキュリティ アドバイザリの参照」を参照してください。