GitHub 的咨询数据库在 2026 年 5 月创下了纪录,一个月内发布了 1,560 条经过审核的建议。这个数字是正常月产量的五倍多,也是数据库历史上最高的总量。
该记录仍然没有清除不断增长的队列。 GitHub 表示,漏洞报告、存储库建议和 CVE 请求同时增加,使得审查系统超出了最初构建的处理量。
在一个新的GitHub 博客文章麦迪逊·菲科里利 (Madison Ficorilli) 表示,由于数量和复杂性均显着增加,新公告的审核时间现在更长。
这GitHub 咨询数据库是一个安全漏洞数据库,其中包括 CVE 和源自 GitHub 的开源软件安全公告。
2026 年 5 月,该数据库发布了 1,560 条经过审查的建议。 GitHub 表示,这一激增并非一个月内的异常现象。从 3 月到 5 月,它每月处理 6,000 多个咨询决策。
这些决定包括发布新的建议、更新现有记录以及审查入站提交的材料。 GitHub 表示,这超过了之前三个月的峰值。
| 公制 | 近期GitHub图 | 为什么这很重要 |
|---|---|---|
| 2026 年 5 月审查的建议 | 1,560 | 数据库历史上最高的月度总数 |
| 3月至5月的咨询决定 | 每月超过6000 | 显示持续的压力,而不是短暂的峰值 |
| 私人漏洞报告 | 一月每周约 550 人,五月每周超过 3,000 人 | 显示直接漏洞报告的大幅增加 |
| 存储库建议 | 每周大约 650 到每周 5,000 以上 | 显示维护人员正在发布更多安全披露 |
| GitHub CNA CVE 请求 | 5月近4,000人 | 同比增长近10倍 |
审核延迟现已延长至数周
GitHub 表示,积压工作从 4 月中旬开始影响其内部发布目标。处理时间最初缩短至一周左右,然后延长至数周,以处理有意义的提交内容。
该公司表示,更长的发布时间可以增加曝光窗口。这很重要,因为经过 GitHub 审查的建议提供的工具可以帮助开发人员识别受影响的依赖项并转向修复版本。
相同GitHub分析表示现有警报继续正常工作,但新的建议可能需要更长的时间才能触发,并且优先考虑关键问题。
审查系统仍然依赖于人工验证
GitHub 表示,问题在于吞吐量,而不是数据质量。其管道和发布基础设施继续运行,经过审查的建议在发布前仍需经过人工验证。
经过审查的通报不仅仅是重新发布的漏洞记录。 GitHub 管理者将漏洞映射到正确的包生态系统,验证受影响和修复的版本,确认上游准确性,检查重复,并审查分类和评分。
公众GitHub 咨询数据库存储库将该项目描述为一个免费开源数据库,包含 CVE 和 GitHub 发起的影响开源世界的建议。
- 策展人确认了正确的包和生态系统。
- 他们验证受影响和修补的版本范围。
- 他们比较上游建议、提交和发布历史记录。
- 他们检查重复记录和不一致的数据。
- 他们在发布前审查严重性和分类。
为什么咨询审查现在需要更长的时间
一些建议仍然很简单。 GitHub 表示,如果报告清楚地列出了软件包、生态系统、受影响的版本、根本原因和修复方法,管理员可以在几分钟内验证并发布它。
日益严重的问题是,更多的提交需要更深入的调查。一些报告使用不明确的包名称、省略受影响的版本范围或与上游提交和 CVE 记录冲突。
GitHub 表示,多生态系统公告也会减慢审核速度。单个漏洞可能会影响 npm、NuGet、Maven、pip 或其他注册表中的包,需要对每个包进行单独验证。
| 回顾挑战 | 例子 | 对出版的影响 |
|---|---|---|
| 包歧义 | 报告命名项目但未命名包注册表名称 | 策展人必须手动识别正确的包 |
| 缺少版本范围 | 该通报称错误已修复,但未列出受影响的版本 | 管理者必须重建版本历史 |
| 多生态系统影响 | 同一漏洞影响多个注册表中的软件包 | 每个生态系统都需要单独验证 |
| 上游数据冲突 | CVE 记录、维护者建议和承诺不同意 | 策展人必须确定准确的影响 |
私人漏洞报告正在推动更多提交
GitHub 表示,超过 170 万个存储库启用了私密漏洞报告。这为研究人员提供了一种内置的方式来私下向维护人员提交漏洞,而不是公开问题。
GitHub 的文档私人漏洞报告表示如果公共存储库启用了该功能,任何人都可以私下向维护人员报告安全漏洞。
这有利于负责任的披露,但也增加了最终进入咨询工作流程的漏洞数据量。更多的报告意味着更多的发现、更多的协调以及更多需要验证的记录。
存储库建议也在快速扩展
存储库安全建议允许维护人员私下讨论、修复和发布公共存储库的漏洞信息。他们还可以在补丁准备好后请求 CVE 并发布详细信息。
GitHub 上的文档存储库安全建议表示维护人员可以使用该功能在临时私人分叉中协作修复,然后在发布公告时向项目社区发出警报。
该流程有助于项目更负责任地披露漏洞。这也意味着 GitHub 的管理团队必须将更多的上游披露转化为准确的全球咨询记录。
| 咨询来源 | 它有什么贡献 |
|---|---|
| 私人漏洞报告 | 研究人员直接向维护人员报告 |
| 存储库安全建议 | 维护者发布的漏洞披露 |
| CVE 请求 | 漏洞的正式标识符 |
| 国家漏洞数据库 | 导入漏洞记录 |
| 社区贡献 | 咨询数据的更正和改进 |
Dependabot 用户可能会看到新建议的警报速度变慢
GitHub 表示,现有的 Dependabot 警报不受影响。主要影响在于新的建议,这些建议可能需要更长的时间才能触发,而审查队列仍然面临压力。
GitHub 的Dependabot 警报文档称,该功能可以帮助用户在存在安全风险之前找到并修复易受攻击的依赖项。
这使得咨询时机变得非常重要。当经过审查的咨询到达数据库时,下游项目可以收到警报,将它们指向固定的依赖项版本。
GitHub 正在改变什么
GitHub 表示,它正在改进分类、扩大后端管理能力、实现数据基础设施现代化,并提高自动化程度,从而在不降低质量标准的情况下减少重复性工作。
该公司还表示,它已经为策展人开发了人工智能辅助研究工具。 GitHub 表示,这些工具支持咨询审查的研究阶段,而人类策展人仍然做出每项决定。

未来的变化包括更智能的基于风险的优先级。 GitHub 表示,它正在探索主动利用、软件包使用和生态系统影响等信号,以便最重要的建议首先到达用户。
- 改进高质量提交的分类。
- 提高后端管理能力。
- 使用人工智能辅助工具进行日常研究。
- 扩展上游 CVE 数据提取的自动化。
- 改进文档和审阅者培训。
- 使用利用和包影响信号优先提供建议。
为什么高质量报告现在更重要
GitHub 表示,完整的报告可以更快地通过审核。缺少软件包名称、不清楚的版本范围和糟糕的复制细节迫使管理者从源代码、提交、变更日志和上游记录中重建事实。
该平台的安全建议的最佳实践强有力的建议应包括准确的生态系统和软件包名称、受影响的版本、修补版本、严重性、CWE 详细信息以及清晰的描述。
对于维护人员来说,这意味着咨询质量现在对运营产生直接影响。更好的报告可以带来更快的审查、更准确的警报和更少的下游纠正。
| 报告详情 | 为什么 GitHub 需要它 |
|---|---|
| 注册表包名 | 让咨询数据正确匹配受影响的依赖项 |
| 生态系统 | 跨 npm、pip、Maven、NuGet 等分隔类似名称的包 |
| 受影响版本范围 | 防止不必要的或错过的警报 |
| 补丁版本 | 帮助用户升级到安全版本 |
| 清晰再现细节 | 帮助管理者更快地验证漏洞 |
| CVSS 和 CWE 数据 | 改进严重程度和弱点分类 |
开源漏洞管道正在发生变化
提交数量的增加表明开源安全生态系统正在变得更加透明。越来越多的研究人员正在报告漏洞,越来越多的维护者正在发布修复程序,越来越多的存储库正在实现负责任的披露。
这一进展造成了新的瓶颈。中央数据库必须将大量的漏洞报告转化为包管理器、扫描器、维护者和开发人员可以信任的记录。
这咨询数据库存储库表示建议以 OSV 格式存储,并且可以接收社区的改进请求,尽管 GitHub 的内部安全建议管理团队仍在审查提议的更改。
维护人员现在应该做什么
维护者应该让研究人员更容易私下报告问题,然后在修复可用后发布完整的建议。这可以减少混乱并帮助受影响的用户收到准确的警报。
这私人报告功能可以帮助维护人员避免在补丁出现之前公开漏洞披露。当项目启用时,它还为研究人员提供了一条清晰的路径。
维护人员还应该将建议细节与实际发布历史记录保持一致。不正确的软件包名称或版本范围可能会导致误报、错过警报以及整个生态系统的额外审核工作。
- 为公共存储库启用私有漏洞报告。
- 使用准确的注册表包名称,而不仅仅是项目名称。
- 单独列出每个受影响的包。
- 提供受影响和固定的版本范围。
- 包括再现详细信息和根本原因信息。
- 在发表之前与研究人员进行协调。
- 仅当有明确的发布计划时才请求 CVE。
开发人员和安全团队应该期待什么
开发人员应该预料到,一些经过 GitHub 审核的新建议需要更长的时间才会出现,而审核队列仍然很高。关键问题可能仍会得到优先考虑。
依赖依赖性警报的安全团队应将 GitHub 咨询数据与供应商咨询、维护者帖子、软件包发行说明以及来自其他可信来源的漏洞情报结合起来。
GitHub 的Dependabot 文档仍然具有相关性,因为警报工作流程取决于准确的咨询数据、依赖关系图信息和可用的修补版本。
底线
GitHub 创纪录的咨询量显示了进步和压力。更多漏洞被发现并被披露,但审查过程现在面临一定程度的需求,导致某些记录的发布速度减慢。
该公司正在通过更好的分类、后端扩展、自动化、人工智能辅助研究支持以及未来基于风险的优先级来应对。它并没有从流程中消除人工审查。
减少延迟的最快方法也是最实用的方法:研究人员和维护人员应该提交更干净的漏洞数据。完整的建议可帮助 GitHub 更快地进行审核,并帮助开发人员更快地修复易受攻击的依赖项。
GitHub 的存储库咨询工作流程和咨询写作指导为维护人员提供更清晰的途径来发布有用、准确的安全信息。
对于开源生态系统来说,信息是明确的。漏洞披露的规模已经扩大,验证、丰富和分发这些报告的系统现在必须随之扩大。
FAQ
2026 年 5 月 GitHub Advisory 数据库发生了什么?
GitHub 在 2026 年 5 月发布了 1,560 条经过审核的建议,是其典型月产量的五倍多,也是该数据库历史上最高的月度总量。
为什么 GitHub 咨询审核需要更长的时间?
GitHub 表示,漏洞数量和复杂性均有所增加。更多提交需要包消歧、版本范围重建、多生态系统验证以及检查冲突的上游数据。
现有的 Dependabot 警报是否受到影响?
GitHub 表示,现有的 Dependabot 警报不受影响。新的建议可能需要更长的时间才能触发,而审查队列仍然很高,并且优先考虑关键问题。
GitHub 是否使用 AI 自动审查建议?
GitHub 表示,它已经部署了人工智能辅助研究工具,在研究阶段为策展人提供帮助,但每项咨询决策仍然由人类策展人做出。
维护人员如何加快 GitHub 咨询审核速度?
维护人员可以通过提交完整的咨询数据来加快审查速度,这些数据包括准确的注册表包名称、生态系统、受影响的版本范围、修补版本、根本原因详细信息、复制步骤、CVSS 信息和 CWE 分类。
