Skip to main content

Métricas para alertas do Dependabot

Use métricas para acompanhar e priorizar Dependabot alerts em toda a sua organização.

Quem pode usar esse recurso?

O acesso requer:

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

As métricas de Dependabot alerts ajudam você a entender a postura de segurança das dependências da sua organização e a acompanhar o progresso na correção de vulnerabilidades. Você pode usar essas métricas para priorizar os esforços de correção e se concentrar nos problemas de segurança mais críticos.

As métricas de Dependabot alerts estão disponíveis na visão geral da segurança da sua organização.

Quem pode exibir métricas

Você poder�� ver Dependabot as métricas se tiver uma das permissões mencionadas em "Quem pode usar esse recurso?" caixa na parte superior do artigo.

Maneiras pelas quais os dados podem ajudá-lo

As métricas disponíveis combinam severidade, explorabilidade e disponibilidade de patch para ajudá-lo:

  • Priorizar alertas: concentre-se nas vulnerabilidades mais críticas que precisam de atenção imediata com base na gravidade, pontuações de exploração e disponibilidade de patch.
  • Acompanhar o progresso da correção: monitore a rapidez com que sua organização resolve vulnerabilidades e identifique tendências ao longo do tempo.
  • Identificar dependências de alto risco: detecte rapidamente pacotes que representam o maior risco de segurança em seus repositórios.
  • Tome decisões controladas por dados: aloque recursos efetivamente compreendendo quais repositórios e vulnerabilidades exigem mais atenção.

Essas métricas ajudam os gerenciadores de segurança de aplicativos a medir a eficácia de seus programas de gerenciamento de vulnerabilidades e os desenvolvedores a identificar quais vulnerabilidades podem ser corrigidas imediatamente.

Priorização de alerta

O painel de métricas mostra o número de abertos Dependabot alerts. Você pode usar filtros como disponibilidade de patches, severidade e pontuação de EPSS para restringir a lista de alertas a esses critérios específicos correspondentes. Confira Filtros de exibição de painel do Dependabot.

Para obter mais informações sobre como os gerentes de AppSec podem usar melhor essas métricas para otimizar a correção de alertas, confira Priorizando alertas do Dependabot usando métricas.

As principais métricas de priorização incluem:

  • Gravidade: o nível de impacto de uma vulnerabilidade (crítico, alto, médio ou baixo)
  • Explorabilidade: quão facilmente uma vulnerabilidade pode ser explorada na prática, incluindo pontuações do EPSS
  • Relação de dependência: se a dependência vulnerável é direta ou transitiva (indireta)
  • Escopo de dependência: se a vulnerabilidade afeta dependências de runtime, dependências de desenvolvimento ou ambas
  • Uso real: se o código vulnerável é realmente usado em seu aplicativo
  • Disponibilidade de patch: se uma correção está disponível para a vulnerabilidade

Acompanhamento de resolução de alertas

Você pode monitorar como sua organização resolve Dependabot alerts ao longo do tempo. As métricas de resolução de alerta mostram o número de alertas:

  • Corrigido por Dependabot
  • Rejeitado manualmente
  • Descartado automaticamente

Esse bloco também exibe o aumento percentual no número de alertas fechados nos últimos 30 dias, fornecendo visibilidade sobre o desempenho da correção e ajudando você a identificar tendências na correção de vulnerabilidades.

Pacotes de maior risco

O painel "Mais vulnerabilidades" mostra a dependência que tem mais vulnerabilidades em sua organização, e um link para os alertas relacionados em todos os repositórios. Isso ajuda a identificar rapidamente quais dependências representam o maior risco.

Métricas no nível do repositório

A tabela de divisão do repositório mostra um resumo dos alertas abertos pelo repositório, incluindo:

  • O número total de alertas por repositório
  • Distribuição de severidade (crítica, alta, média, baixa)
  • Informações sobre a capacidade de exploração (por exemplo, EPSS > 1%)

Essa tabela pode ser classificada por cada coluna, ajudando você a identificar quais repositórios estão em maior risco e priorizar os esforços de correção de acordo.

Leitura adicional