| [[GitHub| | ||
| {{{#!wiki style="min-height: calc(1.5em + 5px); margin: 0 -10px -5px" {{{#!folding [ 펼치기 · 접기 ] {{{#!wiki style="margin: -5px -1px -11px" | <colbgcolor=#000,#000><colcolor=#fff,#fff> 관련 인물 | 톰 프레스턴 워너 |
| 서비스 | 저장소 · GitHub Pages · GitHub Action · GitHub Packages · Codespace(github.dev) · GitHub Wiki · GitHub Gist · Dependabot · GitHub Advisory Database · GitHub Copilot | |
| 클라이언트 | GitHub CLI · GitHub Desktop · GitHub Mobile | |
| 오픈 소스 | Electron(Atom) · Linguist · Semantic · Tree-sitter | |
| 관련 문서 | 사건 사고 · Octocat · GitHub Universe · One Dark · npm | |
1. 개요
github.com/advisories github/advisory-databaseGitHub 내 소프트웨어에 영향을 미치는 보안 권고 정보인 GitHub Security Advisory(GHSA) 정보를 제공하는 공개 데이터베이스 서비스.
2. 상세
기본적으로 NVD 및 각 패키지 레지스트리 소스별로 취약점 정보를 가져와 GHSA 구조에 맞게 매핑한 뒤 데이터베이스 저장소에 OSV 포맷으로 등재된다.새 취약점이 발견되면 해당 취약점으로 영향이 가는 GitHub 내 모든 저장소에 자동으로 알림이 간다. 대부분 해당 취약점이 발견된 패키지를 종속성으로 가지는 경우이며, 저장소 dependency graphy 기능을 켜두었다면 GitHub 쪽에서 자동으로 판단이 된다.
알림 내용에는 주로 해당 CVE 이름 및 관련된 정보, CWE 종류, CVSS 스코어/벡터/심각도, 영향받은 종속성 및 버전 범위, 그리고 해결 방법도 일부 들어간다. 종속성 버전업만으로 쉽게 패치될 수 있는 취약점이면 Dependabot이 알아서 PR을 넣는다.
심각도의 경우 CVSS의 Qualitative Severity Rating Scale 중 None만 제외하고 나머지를 그대로 가져오며, 현재 CVSS 3.1와 CVSS 4.0을 모두 지원한다.# 매핑이 되어 있는 경우 오른쪽 사이드바에 raw CVSS 벡터랑 스코어 정보도 같이 표시된다.
3. 분류
크게 다음 세 카테고리로 분류된다.- 미검증: 업스트림 NVD에서 자동으로 불러오는 목록. GitHub에서 지원되는 패키지로 매핑이 불가능하거나 어떠한 이유로든 GitHub 내 저장소에 자동 권고가 나가지 않는 경우이다.
- GitHub 검증(reviewed): 수동으로 리뷰된 취약점으로, GitHub내 패키지 데이터에 매핑이 완료된 취약점을 의미한다.
- 멀웨어: npm에 올라간 악성 패키지에 대한 경고. 현재는 npm security team 소스밖에 지원하지 않아서 사실상 npm 전용이다. 대부분의 경우 레지스트리별로 이름이 같은 패키지를 사용하는 공격이라 Dependabot 패치는 나오지 않는다.#