Informationen zu Metriken für Dependabot-Warnungen

Verwenden Sie Metriken, um Dependabot alerts in Ihrer Organisation nachzuverfolgen und zu priorisieren.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

Organisationen im Besitz eines GitHub Team-Kontos mit GitHub Code Security oder im Besitz eines GitHub Enterprise-Kontos mit GitHub Code Security

In diesem Artikel

Metriken für Dependabot alerts helfen Ihnen, den Sicherheitsstatus der Abhängigkeiten Ihrer Organisation zu verstehen und den Fortschritt bei der Behebung von Sicherheitsrisiken nachzuverfolgen. Sie können diese Metriken verwenden, um Korrekturmaßnahmen zu priorisieren und sich auf die wichtigsten Sicherheitsprobleme zu konzentrieren.

Metriken für Dependabot alerts sind in der Sicherheitsübersicht Ihrer Organisation verfügbar.

Wer kann Metriken anzeigen?

Sie können die Metriken von Dependabot sehen, wenn Sie über eine der Berechtigungen verfügen, die im Abschnitt "Wer kann diese Funktion verwenden?" aufgeführt sind. Box oben im Artikel.

Möglichkeiten, wie Die Daten Ihnen helfen können

Die verfügbaren Metriken kombinieren Schweregrad, Exploitability und Patchverfügbarkeit, um Ihnen zu helfen:

  •         **Priorisieren Sie Warnungen**: Konzentrieren Sie sich auf die kritischsten Sicherheitsrisiken, die basierend auf Schweregrad, Exploitability-Bewertungen und Patchverfügbarkeit sofortige Aufmerksamkeit benötigen.

  •         **Nachverfolgen des Wartungsfortschritts**: Überwachen Sie, wie schnell Ihre Organisation Sicherheitsrisiken löst und Trends im Laufe der Zeit identifiziert.

  •         **Identifizieren sie Abhängigkeiten mit hohem Risiko**: Erkennen Sie schnell Pakete, die das größte Sicherheitsrisiko in Ihren Repositorys darstellen.

  •         **Treffen Sie datengesteuerte Entscheidungen**: Weisen Sie Ressourcen effektiv zu, indem Sie verstehen, welche Repositorys und Sicherheitsrisiken die größte Aufmerksamkeit erfordern.

Diese Metriken helfen sowohl Anwendungssicherheitsmanagern, die Effektivität ihrer Sicherheitsrisikomanagementprogramme zu messen, als auch Entwickler erkennen, welche Sicherheitsrisiken sie sofort beheben können.

Priorisierung von Warnungen

Das Metriken-Dashboard zeigt die Anzahl der geöffneten Dependabot alerts. Sie können Filter wie die Verfügbarkeit von Patches, Schweregrad und EPSS-Bewertung verwenden, um die Liste der Warnungen auf diejenigen einzugrenzen, die bestimmten Kriterien entsprechen. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.

Weitere Informationen dazu, wie das AppSec-Management diese Metriken am besten zum Optimieren der Warnungskorrektur verwendet, findest du unter Priorisieren von Dependabot-Warnungen mithilfe von Metriken.

Zu den wichtigsten Metriken für die Priorisierung gehören:

  •         **Schweregrad**: Die Auswirkung eines Sicherheitsrisikos (kritisch, hoch, mittel oder niedrig)

  •         **Exploitability**: Wie einfach eine Sicherheitsanfälligkeit in der Praxis ausgenutzt werden kann, einschließlich EPSS-Bewertungen

  •         **Abhängigkeitsbeziehung**: Gibt an, ob die anfällige Abhängigkeit direkt oder transitiv (indirekt) ist.

  •         **Abhängigkeitsbereich**: Ob sich die Sicherheitsanfälligkeit auf Laufzeitabhängigkeiten, Entwicklungsabhängigkeiten oder beides auswirkt

  •         **Tatsächliche Verwendung**: Gibt an, ob der anfällige Code tatsächlich in Ihrer Anwendung verwendet wird.

  •         **Patchverfügbarkeit**: Gibt an, ob ein Fix für die Sicherheitsanfälligkeit verfügbar ist.

Nachverfolgung der Benachrichtigungsbehebung

Sie können überwachen, wie Ihre Organisation Dependabot alerts im Laufe der Zeit löst. Metriken zur Warnungsauflösung zeigen die Anzahl der Warnungen an:

  • Behoben von Dependabot
  • Manuell zurückgewiesen
  • Automatisch verworfen

Auf dieser Kachel wird auch der prozentuale Anstieg der Anzahl der Warnmeldungen angezeigt, die in den letzten 30 Tagen geschlossen wurden. Dies bietet Einblicke in die Leistung bei der Risikobehebung und hilft Ihnen, Trends bei der Behebung von Sicherheitsanfälligkeiten festzustellen.

Pakete mit hohem Risiko

Die Kachel "Die meisten Sicherheitsrisiken" zeigt die Abhängigkeit, die die meisten Sicherheitsrisiken in Ihrer Organisation aufweist, sowie einen Link zu den zugehörigen Warnungen in allen Repositorys. Auf diese Weise können Sie schnell erkennen, welche Abhängigkeiten das größte Risiko darstellen.

Metriken auf Repositoryebene

Die Aufschlüsselungstabelle des Repositorys zeigt eine Zusammenfassung der geöffneten Warnungen nach Repository, einschließlich:

  • Die Gesamtzahl der Warnungen pro Repository
  • Schweregradverteilung (kritisch, hoch, mittel, niedrig)
  • Exploitierbarkeitsinformationen (zum Beispiel EPSS > 1%)

Diese Tabelle kann nach jeder Spalte sortiert werden, sodass Sie ermitteln können, welche Repositorys am meisten gefährdet sind, und die Korrekturmaßnahmen entsprechend priorisieren.

Weiterführende Lektüre

  •         [AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)

  •         [AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)