Visualización de métricas para alertas de Dependabot

Puedes usar la información general de la seguridad para ver cuántas Dependabot alerts hay en los repositorios de toda la organización, para priorizar las alertas más críticas que se deben corregir e identificar los repositorios en los que es posible que tengas que realizar acciones.

¿Quién puede utilizar esta característica?

El acceso requiere:

Organizaciones que pertenecen a una cuenta de GitHub Team con GitHub Code Security, o a una cuenta de GitHub Enterprise con GitHub Code Security

En este artículo

Puede ver las métricas de Dependabot alerts para realizar un seguimiento y priorizar las vulnerabilidades en toda la organización. Para obtener más información sobre las métricas disponibles y cómo usarlas, consulte Acerca de las métricas de las alertas de Dependabot.

En este artículo se explica cómo acceder a estas métricas y ver estas métricas para su organización.

Visualización de las métricas de Dependabot para una organización

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Metrics", haz clic en el panel Dependabot.

  4. Opcionalmente, usa los filtros disponibles o crea los tuyos propios. Consulta Filtros de vista del panel Dependabot.

  5. Opcionalmente, haz clic en un número del eje X del gráfico para filtrar la lista de alertas por los criterios pertinentes (por ejemplo, has:patch severity:critical,high epss_percentage:>=0.01).

  6. Opcionalmente, haz clic en un repositorio individual para ver las Dependabot alerts asociadas.

Configuración de categorías de embudo

El orden de embudo predeterminado es has:patch, severity:critical,high, epss_percentage>=0.01. Al adaptar el orden del embudo’, tu y tus equipos os podéis centrar en las vulnerabilidades que más importan a la organización, entornos u obligaciones normativas, lo que hace que los esfuerzos de corrección sean más eficaces y alineados con tus necesidades específicas.

  1. En GitHub, navega a la página principal de tu organización.

  2. Debajo del nombre de la organización, haz clic en Security.

    Captura de pantalla de la barra de navegación horizontal de una organización. Una pestaña, etiquetada con un icono de escudo y "Seguridad", está resaltado en naranja oscuro.

  3. En la barra lateral, en "Metrics", haz clic en el panel Dependabot.

  4. En la parte superior derecha del gráfico "Alert prioritization", haz clic en .

  5. En el cuadro de diálogo "Configure funnel order", cambia los criterios según sea necesario.

  6. Cuando hayas terminado, haz clic en Move para guardar los cambios.

Sugerencia

Para restablecer el orden de embudo de nuevo a la configuración predeterminada, haz clic en Reset to default a la derecha del gráfico.

Uso eficaz de métricas

Use las métricas de Dependabot para:

  •         **Priorizar la corrección**: céntrese en alertas críticas y de alta gravedad que se puedan aprovechar fácilmente. Los desarrolladores pueden usar filtros de severidad y disponibilidad de parches para identificar vulnerabilidades que pueden corregir inmediatamente, reduciendo el ruido y centrando la atención en problemas accionables.

  •         **Supervisar el progreso**: realice un seguimiento de la rapidez con la que su organización resuelva las vulnerabilidades de seguridad y mida la eficacia de los esfuerzos de administración de vulnerabilidades.

  •         **Tomar decisiones controladas por datos**: asigne recursos basados en patrones de uso y riesgo reales. El desglose de nivel de repositorio le ayuda a comprender qué proyectos están más en riesgo y dónde centrar los esfuerzos de corrección.

  •         **Identificar tendencias**: Comprenda si la postura de seguridad mejora con el tiempo y asegure el cumplimiento con los plazos organizativos o regulatorios.

  •         **Descripción de los perfiles de riesgo**: los desarrolladores pueden usar estas métricas para comprender el perfil de riesgo de sus dependencias, lo que permite la priorización informada del trabajo.