Anzeigen von Metriken für Dependabot-Warnungen

Du kannst die Sicherheitsübersicht verwenden, um zu ermitteln, wie viele Dependabot alerts für Repositorys in deiner Organisation vorliegen, um die wichtigsten Warnungen zu ermitteln und um Repositorys zu identifizieren, für die du möglicherweise Maßnahmen ergreifen musst.

Wer kann dieses Feature verwenden?

Zugriff erfordert:

  • Organisationsansichten: Schreibzugriff auf Repositorys in der Organisation
  • Enterprise-Ansichten: Organisationsbesitzerinnen und Sicherheitsmanagerinnen

In diesem Artikel

Informationen zu Dependabot-Metriken

Die Metrikübersicht für Dependabot bietet wertvolle Erkenntnisse für Fachkräfte aus Softwareentwicklung und AppSec-Management (Anwendungssicherheit). Die Daten im Dependabot-Dashboard enthalten einen Trichter für die Priorisierung von Sicherheitsrisiken, mit dem diese in mehreren Repositorys effizient priorisiert, behoben und nachverfolgt werden können. Dadurch wird sichergestellt, dass die kritischsten Risiken zuerst behoben werden und dass Sicherheitsverbesserungen im Laufe der Zeit gemessen werden können.

Weitere Informationen dazu, wie das AppSec-Management diese Metriken am besten zum Optimieren der Warnungskorrektur verwendet, findest du unter Prioritizing Dependabot alerts using metrics.

Du kannst Dependabot-Metriken einsehen, wenn du Folgendes hast:

Die verfügbaren Metriken kombinieren Schweregrad, Ausnutzbarkeit und Patchverfügbarkeit und helfen auf folgende Weise:

  • Warnungspriorisierung: Das Diagramm zeigt die Anzahl der offenen Dependabot alerts. Mithilfe von Filtern wie Patchverfügbarkeit, Schweregrad, EPSS-Score kannst du die Liste der Warnungen auf diejenigen eingrenzen, die den Kriterien entsprechen. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.

  • Korrekturnachverfolgung: Die Kachel „Alerts closed“ zeigt die Anzahl der Warnungen an, die mit Dependabot korrigiert, manuell geschlossen und automatisch geschlossen wurden. Gleichzeitig werden Einblicke in Korrekturleistung und Trends geboten. Die Kachel zeigt auch die prozentuale Steigerung der in den letzten 30 Tagen geschlossenen Benachrichtigungen.

  • Paket mit dem höchsten Risiko: Auf der Kachel „Most vulnerabilities“ wird die Abhängigkeit angezeigt, die die meisten Sicherheitsrisiken in der Organisation aufweist. Auf der Kachel findest du außerdem einen Link zu den zugehörigen Warnungen in allen Repositorys.

  • Aufschlüsselung auf Repositoryebene: Die Tabelle zeigt eine Aufschlüsselung der offenen Warnungen nach Repository, einschließlich der Anzahl nach Schweregrad (kritisch, hoch, mittel, niedrig) und nach Ausnutzbarkeit (z. B. EPSS > 1 %), und kann nach jeder Spalte sortiert werden. Auf diese Weise kannst du ermitteln, welche Projekte am meisten gefährdet sind, Korrekturmaßnahmen priorisieren, wo sie am wichtigsten sind, und den Fortschritt im Laufe der Zeit detailliert nachverfolgen.

Diese Metriken helfen dem Management, die Effektivität des Sicherheitsrisikomanagements zu messen und die Einhaltung von organisatorischen oder regulatorischen Zeitrahmen sicherzustellen.

  • Handlungsrelevanter Kontext für die Softwareentwicklung: Mithilfe der Filter für Schweregrad und Patchverfügbarkeit können Schwachstellen identifiziert werden, die Programmierende sofort beheben können. So kann Rauschen reduziert und die Aufmerksamkeit auf behebbare Probleme gelenkt werden. Diese Metriken helfen Programmierenden, das Risikoprofil ihrer Abhängigkeiten zu verstehen und ihre Arbeit fundiert zu priorisieren.

Anzeigen von Dependabot-Metriken für eine Organisation

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste unter „Metrics“ auf Dependabot dashboard.

  4. Verwende optional die verfügbaren Filter, oder erstelle eigene. Weitere Informationen findest du unter Dependabot-Dashboardansichtsfilter.

  5. Klicke auf der x-Achse des Diagramms optional auf eine Zahl, um die Warnungsliste nach den relevanten Kriterien zu filtern (z. B. has:patch severity:critical,high epss_percentage:>=0.01).

  6. Klicke optional auf ein einzelnes Repository, um die zugehörigen Dependabot alerts anzuzeigen.

Konfigurieren der Trichterkategorien

Die Standardreihenfolge des Trichters lautet has:patch, severity:critical,high, epss_percentage>=0.01. Indem du die Reihenfolge des Trichters anpasst, können du und deine Teams sich auf die Sicherheitsrisiken konzentrieren, die für deine Organisation, deine Umgebungen oder regulatorischen Verpflichtungen am wichtigsten sind. Dies erhöht die Effektivität von Korrekturmaßnahmen und stellt sicher, dass die Maßnahmen an euren spezifischen Anforderungen ausgerichtet sind.

  1. Navigieren Sie auf GitHub zur Hauptseite der Organisation.

  2. Klicke unter deinem Organisationsnamen auf die Option -Sicherheit.

    Screenshot: Horizontale Navigationsleiste für eine Organisation. Eine Registerkarte mit einem Schildsymbol und der Bezeichnung „Sicherheit“ ist durch eine dunkelorange Umrandung hervorgehoben.

  3. Klicke in der Randleiste unter „Metrics“ auf Dependabot dashboard.

  4. Klicke oben rechts im Diagramm „Alert prioritization“ auf .

  5. Verschiebe die Kriterien im Dialogfeld „Configure funnel order“ nach Bedarf.

  6. Wenn du damit fertig bist, klicke auf Move, um deine Änderungen zu speichern.

Tipp

Du kannst die Trichterreihenfolge wieder auf die Standardeinstellungen zurücksetzen, indem du rechts neben dem Diagramm auf Reset to default klickst.