Visualización de métricas para alertas de Dependabot

Puedes usar la información general de la seguridad para ver cuántas Dependabot alerts hay en los repositorios de toda la organización, para priorizar las alertas más críticas que se deben corregir e identificar los repositorios en los que es posible que tengas que realizar acciones.

¿Quién puede utilizar esta característica?

El acceso requiere:

  • Vistas de la organización: acceso de escritura a repositorios de la organización
  • Vistas de la empresa: propietarios de la organización y administradores de seguridad

Organizaciones que pertenecen a una cuenta de GitHub Team con GitHub Code Security, o propiedad de una cuenta GitHub Enterprise

En este artículo

Acerca de las métricas de Dependabot

En la información general de las métricas de Dependabot se proporciona información valiosa para los desarrolladores y administradores de seguridad de aplicaciones (AppSec). Los datos de la página del panel de Dependabot contienen un embudo de priorización de vulnerabilidades que ayuda a priorizar, corregir y realizar el seguimiento eficaz de las vulnerabilidades en varios repositorios. Esto garantiza que los riesgos más críticos se abordan primero y que las mejoras de seguridad se pueden medir en el tiempo.

Para más información sobre cómo los administradores de AppSec pueden usar mejor estas métricas para optimizar la corrección de alertas, consulta Priorización de alertas de Dependabot mediante métricas.

Puedes ver las métricas de Dependabot si tienes:

Las métricas disponibles combinan la gravedad, la vulnerabilidad de seguridad y la disponibilidad de revisiones, y ayudan de las siguientes maneras:

  • Priorización de alertas: el gráfico muestra el número de Dependabot alerts abiertas. Puedes usar filtros, como la disponibilidad de revisiones, gravedad, puntuación de EPSS para restringir la lista de alertas a las que coinciden con los criterios. Consulta Filtros de vista del panel Dependabot.

  • Seguimiento de corrección: el icono "Alerts closed" muestra el número de alertas corregidas con Dependabot, las descartadas manualmente y las descartadas automáticamente, lo que proporciona visibilidad sobre el rendimiento y las tendencias de corrección. El icono también muestra el aumento del porcentaje en el número de alertas cerradas en los últimos 30 días.

  • Paquete de mayor riesgo: el icono "Most vulnerabilities" muestra la dependencia que tiene la mayoría de las vulnerabilidades de la organización. El icono también proporciona un vínculo a las alertas relacionadas en todos los repositorios.

  • Desglose de nivel de repositorio: la tabla muestra un desglose de las alertas abiertas por repositorio, incluidos los recuentos por gravedad (crítico, alto, medio, bajo) y por vulnerabilidad (por ejemplo, EPSS > 1 %), y se pueden ordenar por cada columna. Esto te ayuda a identificar qué proyectos tienen más en riesgo, priorizar los esfuerzos de corrección donde más importan y realizar el seguimiento del progreso a lo largo del tiempo en un nivel pormenorizado.

Estas métricas ayudan a los administradores a medir la eficacia de su administración de vulnerabilidades y a garantizar el cumplimiento de las escalas de tiempo normativas o de la organización.

  • Contexto accionable para desarrolladores: los desarrolladores pueden usar los filtros de gravedad y de disponibilidad de revisión para identificar las vulnerabilidades que pueden corregir inmediatamente, reducir el ruido y centrar la atención en los problemas que pueden solucionar. Estas métricas les ayudan a comprender el perfil de riesgo de sus dependencias, lo que permite la priorización del trabajo.

Visualización de las métricas de Dependabot para una organización

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Metrics", haz clic en el panel Dependabot.

  4. Opcionalmente, usa los filtros disponibles o crea los tuyos propios. Consulta Filtros de vista del panel Dependabot.

  5. Opcionalmente, haz clic en un número del eje X del gráfico para filtrar la lista de alertas por los criterios pertinentes (por ejemplo, has:patch severity:critical,high epss_percentage:>=0.01).

  6. Opcionalmente, haz clic en un repositorio individual para ver las Dependabot alerts asociadas.

Configuración de categorías de embudo

El orden de embudo predeterminado es has:patch, severity:critical,high, epss_percentage>=0.01. Al adaptar el orden del embudo’, tu y tus equipos os podéis centrar en las vulnerabilidades que más importan a la organización, entornos u obligaciones normativas, lo que hace que los esfuerzos de corrección sean más eficaces y alineados con tus necesidades específicas.

  1. En GitHub, navega a la página principal de tu organización.

  2. En el nombre de la organización, haga clic en Seguridad .

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Metrics", haz clic en el panel Dependabot.

  4. En la parte superior derecha del gráfico "Alert prioritization", haz clic en .

  5. En el cuadro de diálogo "Configure funnel order", cambia los criterios según sea necesario.

  6. Cuando hayas terminado, haz clic en Move para guardar los cambios.

Sugerencia

Para restablecer el orden de embudo de nuevo a la configuración predeterminada, haz clic en Reset to default a la derecha del gráfico.