关于 Dependabot 的指标
Dependabot 的指标概述为开发人员和应用程序安全 (AppSec) 经理提供了有价值的见解。 Dependabot 仪表板页中的数据包含漏洞优先顺序漏斗,有助于跨多个存储库有效地确定漏洞的优先级并修正和跟踪漏洞。 这可以确保首先解决最严重的风险,并且可以在一段时间后衡量安全性的改善情况。
要详细了解 AppSec 经理如何充分使用这些指标来优化警报修复,请参阅 使用指标确定 Dependabot 警报的优先级。
如果具有以下权限或角色,则可以看到 Dependabot 指标:
- 存储库的
admin角色。 - 具有存储库的“查看 Dependabot alerts”细分权限的自定义存储库角色。 有关详细信息,请参阅“关于自定义存储库角色”。
- 存储库警报的访问权限。 有关详细信息,请参阅“管理存储库的安全和分析设置”。
可用指标结合了严重性、可利用性和补丁可用性,并通过以下方式提供帮助:
-
警报优先级排序:该图表显示未解决的 Dependabot alerts 的数量********。 可以使用筛选器(例如补丁可用性、严重性、EPSS 分数)将警报列表缩小为符合条件的警报列表。 请参阅 Dependabot 仪表板视图筛选器。
-
修正跟踪:“已解决的警报”磁贴显示使用 Dependabot 修复、手动消除和自动消除的警报数,从而展示修正的效果和趋势****。 该磁贴还显示过去 30 天内已解决警报数的百分比增幅。
-
风险最高的包:“最多漏洞”磁贴显示组织中存在最多漏洞的依赖项****。 该磁贴还提供指向所有存储库中相关警报的链接。
-
存储库级细分:该表按存储库显示未解决的警报的细分(包括按严重性(严重、高、中、低)和可利用性(例如 EPSS > 1%)划分的计数),并且可以按每列排序****。 这有助于确定哪些项目最有风险,优先处理最重要的修正工作,并精细跟踪一段时间以来的进度。
这些指标可帮助经理衡量其漏洞管理的有效性,并确保符合组织或法规时间表。
- 面向开发人员的可操作上下文:开发人员可以使用严重性和修补可用性筛选器来识别可以立即修复的漏洞,从而减少干扰并集中注意力解决他们可解决的问题****。 这些指标可帮助他们了解依赖项的风险概况,从而实现对工作进行有依据的优先级排序。
查看组织的 Dependabot 指标
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
在侧栏的“Metrics”下,单击“ Dependabot dashboard”****。
-
(可选)使用随时可用的筛选器,或生成自己的筛选器。 请参阅 Dependabot 仪表板视图筛选器。
-
(可选)单击图表 x 轴上的数字,按相关条件(例如
has:patch severity:critical,high epss_percentage:>=0.01)筛选警报列表。 -
(可选)单击单个存储库以查看关联的 Dependabot alerts。
配置漏斗类别
默认漏斗顺序为 has:patch, severity:critical,high, epss_percentage>=0.01。 通过定制漏斗顺序,你和你的团队可以专注解决对你的组织、环境或法规义务最重要的漏洞,使修正工作更加有效,并符合你的特定需求。
-
在 GitHub 上,导航到组织的主页面。
-
在组织名称下,单击“ 安全性”。
-
在侧栏的“Metrics”下,单击“ Dependabot dashboard”****。
-
在“警报优先级排序”图的右上角,单击“”。
-
在“Configure funnel order”对话框中,根据需要移动条件。
-
完成后,选择“Move”以保存更改****。
提示
通过单击图像右侧的“Reset to default”可以将漏斗顺序重置回默认设置****。