GitLab 建议数据库

GitLab 建议数据库 是一个存储软件依赖相关安全建议的仓库。它每小时更新一次，包含最新的安全建议。

该数据库是 依赖扫描 和 容器扫描 的核心组件。

GitLab 建议数据库也提供了免费开源版本，即 GitLab 建议数据库（开源版）。但是，更新会有 30 天的延迟。

标准化

在我们的建议中，我们采用标准化做法来有效传达漏洞及其影响。

• CVE
• CVSS
• CWE

探索数据库

要查看数据库内容，请访问 GitLab 建议数据库 主页。在主页上，您可以：

• 按标识符、包名称和描述搜索数据库。
• 查看最近添加的建议。
• 查看统计信息，包括覆盖范围和更新频率。

搜索

每条建议都有一个包含以下详细信息的页面：

• 标识符：公共标识符。例如 CVE ID、GHSA ID 或 GitLab 内部 ID（GMS-<年份>-<编号>）。
• 包标识符：用斜杠分隔的包类型和包名称。
• 漏洞：安全缺陷的简短描述。
• 描述：安全缺陷和潜在风险的详细描述。
• 受影响的版本：受影响的版本。
• 解决方案：如何修复漏洞。
• 最后修改：建议最后修改的日期。

开源版本

GitLab 提供了数据库的免费开源版本，即 GitLab 建议数据库（开源版）。

开源版本是 GitLab 建议数据库的延迟克隆版本，采用 MIT 许可证，包含 GitLab 建议数据库中所有超过 30 天或带有 community-sync 标志的建议。

集成

• 依赖扫描
• 容器扫描
• 第三方工具

数据库的使用方式

作为示例，我们重点介绍数据库作为持续漏洞扫描过程中建议摄取流程的源头的使用方式。

%%{init: { "fontFamily": "GitLab Sans" }}%%
flowchart TB
accTitle: 建议摄取流程
accDescr: 构成建议摄取流程的操作序列。

    subgraph 依赖扫描
        A[GitLab 建议数据库]
    end
    subgraph 容器扫描
        C[GitLab 建议数据库
          开源版
          集成到 Trivy]
    end
    A --> B{摄取}
    C --> B
    B --> |存储| D{{"云存储
                     (NDJSON 格式)"}}
    F[\GitLab 实例/] --> |拉取数据| D
    F --> |存储| G[(关系型数据库)]

维护

漏洞研究团队负责 GitLab 建议数据库和 GitLab 建议数据库（开源版）的维护和定期更新。

社区贡献可以通过 community-sync 标志在 advisories-community 中访问。

贡献漏洞数据库

如果您知道有未列出的漏洞，您可以通过提交问题或提交漏洞来为 GitLab 建议数据库做贡献。

有关更多信息，请参阅 贡献指南。

许可证

GitLab 建议数据库可根据 GitLab 建议数据库条款 自由访问。