Anzeigen von Metriken für Dependabot-Warnungen

Du kannst die Sicherheitsübersicht verwenden, um zu ermitteln, wie viele Dependabot alerts für Repositorys in deiner Organisation vorliegen, um die wichtigsten Warnungen zu ermitteln und um Repositorys zu identifizieren, für die du möglicherweise Maßnahmen ergreifen musst.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

Organisationen im Besitz eines GitHub Team-Kontos mit GitHub Code Security oder im Besitz eines GitHub Enterprise-Kontos mit GitHub Code Security

In diesem Artikel

Sie können Metriken für Dependabot alerts anzeigen, um Sicherheitsrisiken in Ihrer Organisation nachzuverfolgen und zu priorisieren. Weitere Informationen zu den verfügbaren Metriken und deren Verwendung finden Sie unter Informationen zu Metriken für Dependabot-Warnungen.

In diesem Artikel wird erläutert, wie Sie auf diese Metriken für Ihre Organisation zugreifen und diese anzeigen.

Anzeigen von Dependabot-Metriken für eine Organisation

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf Security.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste unter „Metrics“ auf Dependabot dashboard.

  4. Verwende optional die verfügbaren Filter, oder erstelle eigene. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.

  5. Klicke auf der x-Achse des Diagramms optional auf eine Zahl, um die Warnungsliste nach den relevanten Kriterien zu filtern (z. B. has:patch severity:critical,high epss_percentage:>=0.01).

  6. Klicke optional auf ein einzelnes Repository, um die zugehörigen Dependabot alerts anzuzeigen.

Konfigurieren der Trichterkategorien

Die Standardreihenfolge des Trichters lautet has:patch, severity:critical,high, epss_percentage>=0.01. Indem du die Reihenfolge des Trichters anpasst, können du und deine Teams sich auf die Sicherheitsrisiken konzentrieren, die für deine Organisation, deine Umgebungen oder regulatorischen Verpflichtungen am wichtigsten sind. Dies erhöht die Effektivität von Korrekturmaßnahmen und stellt sicher, dass die Maßnahmen an euren spezifischen Anforderungen ausgerichtet sind.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf Security.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste unter „Metrics“ auf Dependabot dashboard.

  4. Klicke oben rechts im Diagramm „Alert prioritization“ auf .

  5. Verschiebe die Kriterien im Dialogfeld „Configure funnel order“ nach Bedarf.

  6. Wenn du damit fertig bist, klicke auf Move, um deine Änderungen zu speichern.

Tipp

Du kannst die Trichterreihenfolge wieder auf die Standardeinstellungen zurücksetzen, indem du rechts neben dem Diagramm auf Reset to default klickst.

Effektive Verwendung von Metriken

Verwenden Sie Dependabot-Metriken, um:

  •         **Priorisieren Sie die Behebung**: Konzentrieren Sie sich auf kritische und warnungen mit hohem Schweregrad, die leicht ausnutzbar sind. Entwickler können Schweregrad- und Patchverfügbarkeitsfilter verwenden, um Sicherheitsrisiken zu identifizieren, die sie sofort beheben können, um Rauschen zu reduzieren und die Aufmerksamkeit auf umsetzbare Probleme zu lenken.

  •         **Überwachen des Fortschritts**: Verfolgen Sie, wie schnell Ihre Organisation Sicherheitsrisiken auflöst, und messen Sie die Effektivität der Bemühungen um das Sicherheitsrisikomanagement.

  •         **Treffen Sie datengesteuerte Entscheidungen**: Ressourcen basierend auf tatsächlichen Risiko- und Nutzungsmustern zuordnen. Die Aufschlüsselung auf Repositoryebene hilft Ihnen zu verstehen, welche Projekte am häufigsten gefährdet sind und wo Sie sich auf die Korrekturmaßnahmen konzentrieren können.

  •         **Identifizieren von Trends**: Verstehen Sie, ob sich Ihre Sicherheitslage im Laufe der Zeit verbessert, und stellen Sie sicher, dass die Einhaltung von organisatorischen oder behördlichen Zeitplänen gewährleistet ist.

  •         **Verstehen von Risikoprofilen**: Entwickler können diese Metriken verwenden, um das Risikoprofil ihrer Abhängigkeiten zu verstehen und eine fundierte Priorisierung der Arbeit zu ermöglichen.