{"meta":{"title":"GitHub Advisory Database でのセキュリティ アドバイザリの参照","intro":"GitHub Advisory Databaseを閲覧して、オープンソースに影響を与えるCVEやGitHub由来のアドバイザリを見つけることができます。","product":"セキュリティとコードの品質","breadcrumbs":[{"href":"/ja/code-security","title":"セキュリティとコードの品質"},{"href":"/ja/code-security/how-tos","title":"やり方"},{"href":"/ja/code-security/how-tos/report-and-fix-vulnerabilities","title":"脆弱性の報告と修正"},{"href":"/ja/code-security/how-tos/report-and-fix-vulnerabilities/fix-reported-vulnerabilities","title":"脆弱性を修正する"},{"href":"/ja/code-security/how-tos/report-and-fix-vulnerabilities/fix-reported-vulnerabilities/browse-advisory-database","title":"アドバイザリ データベースの参照"}],"documentType":"article"},"body":"# GitHub Advisory Database でのセキュリティ アドバイザリの参照\n\nGitHub Advisory Databaseを閲覧して、オープンソースに影響を与えるCVEやGitHub由来のアドバイザリを見つけることができます。\n\n\n\n## GitHub Advisory Database内のアドバイザリにアクセスする\n\nGitHub Advisory Database内の任意のアドバイザリにアクセスできます。\n\n1. [\n https://github.com/advisories\n ](https://github.com/advisories?ref_product=security-advisories\\&ref_type=engagement\\&ref_style=text) に移動します。\n\n2. 必要に応じて、アドバイザリの一覧をフィルター処理するには、一覧の上にある検索フィールドまたはドロップダウン メニューを使います。\n\n > \\[!NOTE]\n > 左側のサイドバーを使用すると、GitHubレビュー済みのアドバイザリと未レビューのアドバイザリをそれぞれ閲覧したり、エコシステムで絞り込んだりできます。\n\n3. アドバイザリをクリックして詳細を表示します。 既定では、セキュリティの脆弱性に関する GitHubレビューされたアドバイザリが表示されます。 マルウェア アドバイザリを表示するには、検索バーで `type:malware` を使用します。\n\nデータベースは、GraphQL API を使用してアクセスすることもできます。 既定では、GitHubを指定しない限り、クエリはセキュリティの脆弱性に関する`type:malware`レビューされたアドバイザリを返します。 詳細については、「[Webhook のイベントとペイロード](/ja/webhooks-and-events/webhooks/webhook-events-and-payloads#security_advisory)」を参照してください。\n\nさらに、REST API を使用して GitHub Advisory Database にアクセスできます。 詳細については、「[グローバル セキュリティ アドバイザリ用の REST API エンドポイント](/ja/rest/security-advisories/global-advisories)」を参照してください。\n\n## GitHub Advisory Database でアドバイザリを編集する\n\nGitHub Advisory Databaseの任意のアドバイザリの改善を提案できます。 詳細については、「[GitHub Advisory Database でのセキュリティ アドバイザリの編集](/ja/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/editing-security-advisories-in-the-github-advisory-database)」を参照してください。\n\n## GitHub Advisory Database を検索中\n\nデータベースを検索し、修飾子を使用して検索を絞り込むことができます。 たとえば、特定の日付、特定のエコシステム、または特定のライブラリで作成されたアドバイザリを検索できます。\n\n日付の書式設定は、[ISO8601](http://en.wikipedia.org/wiki/ISO_8601) 標準の `YYYY-MM-DD` (年-月-日) に従う必要があります。\n日付の後にオプションの時刻情報 `THH:MM:SS+00:00` を追加して、時間、分、秒で検索することもできます。 これは、`T` の後に `HH:MM:SS` (時-分-秒)、UTC オフセット (`+00:00`) が続きます。\n\n日付に対して検索を行う場合、結果をさらにフィルタリングするためにより大きい、より小さい、範囲の修飾子を利用できます。 詳しくは、「[検索構文を理解する](/ja/search-github/getting-started-with-searching-on-github/understanding-the-search-syntax)」をご覧ください。\n\n| 修飾子 | 例 |\n| ---------------------------------------------------------------------------------------------------------------- | - |\n| `type:reviewed` | |\n| \\[ | |\n| `type:reviewed` | |\n| ]\\() では、セキュリティの脆弱性に関する GitHubレビューされたアドバイザリが表示されます。 | |\n| `type:malware` | |\n| \\[ | |\n| `type:malware` | |\n| ]\\() を使うと、マルウェアに関するアドバイザリが表示されます。 | |\n| `type:unreviewed` | |\n| \\[ | |\n| `type:unreviewed` | |\n| ]\\() を使うと、レビューされていないアドバイザリが表示されます。 | |\n| `GHSA-ID` | |\n| \\[ | |\n| `GHSA-49wp-qq6x-g2rf` | |\n| ]\\() では、この GitHub Advisory Database ID のアドバイザリが表示されます。 | |\n| `CVE-ID` | |\n| \\[ | |\n| `CVE-2020-28482` | |\n| ]\\() を使用すると、この CVE ID 番号のアドバイザリが表示されます。 | |\n| `ecosystem:ECOSYSTEM` | |\n| \\[ | |\n| `ecosystem:npm` | |\n| ]\\() を使用すると、npm パッケージに影響を与えるアドバイザリのみが表示されます。 | |\n| `severity:LEVEL` | |\n| \\[ | |\n| `severity:high` | |\n| ]\\() を使用すると、重要度レベルが高いアドバイザリのみが表示されます。 | |\n| `affects:LIBRARY` | |\n| \\[ | |\n| `affects:lodash` | |\n| ]\\() を使うと、lodash ライブラリに影響するアドバイザリのみが表示されます。 | |\n| `cwe:ID` | |\n| \\[ | |\n| `cwe:352` | |\n| ]\\() を使用すると、この CWE 番号のアドバイザリのみが表示されます。 | |\n| `credit:USERNAME` | |\n| \\[ | |\n| `credit:octocat` | |\n| ]\\() を使用すると、\"octocat\" ユーザー アカウントにクレジットされたアドバイザリのみが表示されます。 | |\n| `sort:created-asc` | |\n| \\[ | |\n| `sort:created-asc` | |\n| ]\\() を使うと、古いアドバイザリから順に並べ替えられます。 | |\n| `sort:created-desc` | |\n| \\[ | |\n| `sort:created-desc` | |\n| ]\\() を使うと、新しいアドバイザリから順に並べ替えられます。 | |\n| `sort:updated-asc` | |\n| \\[ | |\n| `sort:updated-asc` | |\n| ]\\() を使うと、更新時期が最も古いものから順に並べ替えられます。 | |\n| `sort:updated-desc` | |\n| \\[ | |\n| `sort:updated-desc` | |\n| ]\\() を使うと、更新時期が最も新しいものから順に並べ替えられます。 | |\n| `is:withdrawn` | |\n| \\[ | |\n| `is:withdrawn` | |\n| ]\\() を使うと、取り消されたアドバイザリのみが表示されます。 | |\n| `created:YYYY-MM-DD` | |\n| \\[ | |\n| `created:2021-01-13` | |\n| ]\\() を使うと、この日付に作成されたアドバイザリのみが表示されます。 | |\n| `updated:YYYY-MM-DD` | |\n| \\[ | |\n| `updated:2021-01-13` | |\n| ]\\() を使うと、この日付に更新されたアドバイザリのみが表示されます。 | |\n\n`GHSA-ID` 修飾子は、GitHub に含まれる各アドバイザリに対して GitHub Advisory Database が自動的に割り当てる一意の ID です。 これらの識別子の詳細については、「[GitHub Advisory Databaseについて」を](/ja/code-security/security-advisories/working-with-global-security-advisories-from-the-github-advisory-database/about-the-github-advisory-database#about-ghsa-ids)参照してください。\n\n## 脆弱性のあるリポジトリを表示する\n\nGitHub 内の GitHub Advisory Database によるレビュー済みアドバイザリについては、どのリポジトリがそのセキュリティ脆弱性またはマルウェアの影響を受けているかを確認できます。 脆弱なリポジトリを表示するには、そのリポジトリの Dependabot alerts にアクセスできる必要があります。 詳細については、「[Dependabot alerts](/ja/code-security/dependabot/dependabot-alerts/about-dependabot-alerts#access-to-dependabot-alerts)」を参照してください。\n\n1. [\n https://github.com/advisories\n ](https://github.com/advisories?ref_product=security-advisories\\&ref_type=engagement\\&ref_style=text) に移動します。\n2. アドバイザリをクリックします。\n3. アドバイザリ ページの上部にある **\\[Dependabot アラート]** をクリックします。\n\n![\"グローバル セキュリティ アドバイザリ\" のスクリーンショット。 \\[Dependabot アラート\\] ボタンがオレンジ色のアウトラインで強調されています。](/assets/images/help/security/advisory-database-dependabot-alerts.png)\n\n1. 必要に応じて、リストをフィルタするには、検索バーまたはドロップダウンメニューを使用します。 \\[組織] ドロップダウン メニューでは、所有者 (組織またはユーザー) ごとに Dependabot alerts をフィルター処理できます。\n2. アドバイザリの詳細、および脆弱性のあるリポジトリを修正する方法に関するアドバイスについては、リポジトリ名をクリックしてください。"}