As métricas de Dependabot alerts ajudam você a entender a postura de segurança das dependências da sua organização e a acompanhar o progresso na correção de vulnerabilidades. Você pode usar essas métricas para priorizar os esforços de correção e se concentrar nos problemas de segurança mais críticos.
As métricas de Dependabot alerts estão disponíveis na visão geral da segurança da sua organização.
Quem pode exibir métricas
Você poder�� ver Dependabot as métricas se tiver uma das permissões mencionadas em "Quem pode usar esse recurso?" caixa na parte superior do artigo.
Maneiras pelas quais os dados podem ajudá-lo
As métricas disponíveis combinam severidade, explorabilidade e disponibilidade de patch para ajudá-lo:
- Priorizar alertas: concentre-se nas vulnerabilidades mais críticas que precisam de atenção imediata com base na gravidade, pontuações de exploração e disponibilidade de patch.
- Acompanhar o progresso da correção: monitore a rapidez com que sua organização resolve vulnerabilidades e identifique tendências ao longo do tempo.
- Identificar dependências de alto risco: detecte rapidamente pacotes que representam o maior risco de segurança em seus repositórios.
- Tome decisões controladas por dados: aloque recursos efetivamente compreendendo quais repositórios e vulnerabilidades exigem mais atenção.
Essas métricas ajudam os gerenciadores de segurança de aplicativos a medir a eficácia de seus programas de gerenciamento de vulnerabilidades e os desenvolvedores a identificar quais vulnerabilidades podem ser corrigidas imediatamente.
Priorização de alerta
O painel de métricas mostra o número de abertos Dependabot alerts. Você pode usar filtros como disponibilidade de patches, severidade e pontuação de EPSS para restringir a lista de alertas a esses critérios específicos correspondentes. Confira Filtros de exibição de painel do Dependabot.
Para obter mais informações sobre como os gerentes de AppSec podem usar melhor essas métricas para otimizar a correção de alertas, confira Priorizando alertas do Dependabot usando métricas.
As principais métricas de priorização incluem:
- Gravidade: o nível de impacto de uma vulnerabilidade (crítico, alto, médio ou baixo)
- Explorabilidade: quão facilmente uma vulnerabilidade pode ser explorada na prática, incluindo pontuações do EPSS
- Relação de dependência: se a dependência vulnerável é direta ou transitiva (indireta)
- Escopo de dependência: se a vulnerabilidade afeta dependências de runtime, dependências de desenvolvimento ou ambas
- Uso real: se o código vulnerável é realmente usado em seu aplicativo
- Disponibilidade de patch: se uma correção está disponível para a vulnerabilidade
Acompanhamento de resolução de alertas
Você pode monitorar como sua organização resolve Dependabot alerts ao longo do tempo. As métricas de resolução de alerta mostram o número de alertas:
- Corrigido por Dependabot
- Rejeitado manualmente
- Descartado automaticamente
Esse bloco também exibe o aumento percentual no número de alertas fechados nos últimos 30 dias, fornecendo visibilidade sobre o desempenho da correção e ajudando você a identificar tendências na correção de vulnerabilidades.
Pacotes de maior risco
O painel "Mais vulnerabilidades" mostra a dependência que tem mais vulnerabilidades em sua organização, e um link para os alertas relacionados em todos os repositórios. Isso ajuda a identificar rapidamente quais dependências representam o maior risco.
Métricas no nível do repositório
A tabela de divisão do repositório mostra um resumo dos alertas abertos pelo repositório, incluindo:
- O número total de alertas por repositório
- Distribuição de severidade (crítica, alta, média, baixa)
- Informações sobre a capacidade de exploração (por exemplo, EPSS > 1%)
Essa tabela pode ser classificada por cada coluna, ajudando você a identificar quais repositórios estão em maior risco e priorizar os esforços de correção de acordo.