Exibindo métricas de alertas do Dependabot

Você pode usar a visão geral de segurança para ver quantos Dependabot alerts estão em repositórios em toda a organização, priorizar os alertas mais críticos a serem corrigidos e identificar repositórios em que talvez seja necessário agir.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

Neste artigo

Sobre métricas do Dependabot

A visão geral de métricas do Dependabot fornece insights valiosos para desenvolvedores e gerentes de segurança de aplicativos (AppSec). Os dados na página do painel do Dependabot contêm um funil de priorização de vulnerabilidades que ajuda a priorizar, corrigir e acompanhar vulnerabilidades com eficiência em vários repositórios. Isso garante que os riscos mais críticos sejam resolvidos primeiro e que as melhorias de segurança possam ser medidas ao longo do tempo.

Para saber mais sobre como os gerentes de AppSec podem usar melhor essas métricas para otimizar a correção de alertas, confira Priorizando alertas do Dependabot usando métricas.

Você poderá ver as métricas do Dependabot se tiver:

As métricas disponíveis combinam gravidade, potencial de exploração e disponibilidade de patches e ajudam das seguintes maneiras:

  • Priorização de alertas: o gráfico mostra o número de Dependabot alerts abertos. Você pode usar filtros, como disponibilidade de patches, gravidade, pontuação de EPSS para restringir a lista de alertas aos que correspondem aos critérios. Confira Filtros de exibição de painel do Dependabot.

  • Acompanhamento de correções: o bloco “Alerts closed” mostra o número de alertas corrigidos com o Dependabot, descartados manualmente e descartados automaticamente, proporcionando visibilidade sobre o desempenho e as tendências de correção. O bloco também mostra o aumento percentual no número de alertas fechados nos últimos 30 dias.

  • Pacote de maior risco: o bloco "Most vulnerabilities" mostra a dependência que tem mais vulnerabilidades na organização. O bloco também fornece um link para os alertas relacionados em todos os seus repositórios.

  • Detalhamento no nível do repositório: a tabela mostra um detalhamento de alertas abertos por repositório, incluindo as contagens por gravidade (crítica, alta, média, baixa) e por potencial de exploração (por exemplo, EPSS > 1%), e pode ser classificada por cada coluna. Isso ajuda a identificar quais projetos estão sob maior risco, priorizar os esforços de correção onde eles mais importam e acompanhar o progresso ao longo do tempo em um nível granular.

Essas métricas ajudam os gerentes a medir a eficácia do gerenciamento de vulnerabilidades e a garantir a conformidade com as linhas do tempo organizacionais ou regulatórias.

  • Contexto acionável para desenvolvedores: os desenvolvedores podem usar os filtros de gravidade e disponibilidade de patch para identificar as vulnerabilidades que podem corrigir imediatamente, reduzindo o ruído e concentrando a atenção em problemas que podem solucionar. Essas métricas ajudam a entender o perfil de risco das dependências, permitindo a priorização informada do trabalho.

Exibindo métricas do Dependabot de uma organização

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Metrics", clique em Dependabot dashboard.

  4. Opcionalmente, use os filtros à sua disposição ou crie seus filtros. Confira Filtros de exibição de painel do Dependabot.

  5. Opcionalmente, clique em um número no eixo x do gráfico para filtrar a lista de alertas pelos critérios relevantes (por exemplo, has:patch severity:critical,high epss_percentage:>=0.01).

  6. Ou clique em um repositório individual para ver os Dependabot alerts associados.

Configurando categorias de funil

A ordem de funil padrão é has:patch, severity:critical,high, epss_percentage>=0.01. Ao adaptar a ordem do funil, você e suas equipes podem se concentrar nas vulnerabilidades mais importantes para a organização, os ambientes ou as obrigações regulatórias, tornando os esforços de correção mais eficazes e alinhados às suas necessidades específicas.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da organização, clique em Segurança do .

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Metrics", clique em Dependabot dashboard.

  4. No canto superior direito do gráfico "Alert prioritization", clique em .

  5. Na caixa de diálogo "Configure funnel order", mova os critérios conforme desejado.

  6. Assim que terminar, clique em Move para salvar as alterações.

Dica

Você pode redefinir a ordem de funil de volta para as configurações padrão clicando em Reset to default à direita do gráfico.

pFad - Phonifier reborn

Pfad - The Proxy pFad of © 2024 Garber Painting. All rights reserved.

Note: This service is not intended for secure transactions such as banking, social media, email, or purchasing. Use at your own risk. We assume no liability whatsoever for broken pages.


Alternative Proxies:

Alternative Proxy

pFad Proxy

pFad v3 Proxy

pFad v4 Proxy