Enterprise Server 3.20 actualmente está disponible como versión candidata para lanzamiento.

Acerca de las métricas de las alertas de Dependabot

Utiliza métricas para hacer seguimiento y priorizar Dependabot alerts en toda la organización.

¿Quién puede utilizar esta característica?

El acceso requiere:

Organizaciones que pertenecen a una cuenta de GitHub Team con GitHub Code Security, o a una cuenta de GitHub Enterprise con GitHub Code Security

En este artículo

Las métricas de Dependabot alerts le ayudan a comprender la posición de seguridad de las dependencias de la organización y realizar un seguimiento del progreso en la resolución de vulnerabilidades. Puede usar estas métricas para priorizar los esfuerzos de corrección y centrarse en los problemas de seguridad más críticos.

Las métricas de Dependabot alerts están disponibles en la información general de seguridad de la organización.

Quién puede ver las métricas

Puede ver las métricas de Dependabot si tiene uno de los permisos mencionados en la sección "¿Quién puede usar esta característica?" cuadro situado en la parte superior del artículo.

Formas en que los datos pueden ayudarle

Las métricas disponibles combinan la gravedad, la vulnerabilidad de seguridad y la disponibilidad de revisiones para ayudarle a:

  •         **Priorizar alertas**: céntrese en las vulnerabilidades más críticas que necesitan atención inmediata en función de la gravedad, las puntuaciones de vulnerabilidad y la disponibilidad de revisiones.

  •         **Seguimiento del progreso de la corrección**: supervise la rapidez con la que su organización resuelve las vulnerabilidades e identifique las tendencias a lo largo del tiempo.

  •         **Identificar dependencias de alto riesgo: detecte** rápidamente los paquetes que suponen el mayor riesgo de seguridad en los repositorios.

  •         **Tomar decisiones controladas por datos**: asigne recursos de forma eficaz al comprender qué repositorios y vulnerabilidades requieren la mayor atención.

Estas métricas ayudan a los administradores de seguridad de aplicaciones a medir la eficacia de sus programas de administración de vulnerabilidades y a los desarrolladores a identificar qué vulnerabilidades pueden corregir inmediatamente.

Priorización de alertas

El panel de métricas muestra el número de alertas abiertas Dependabot alerts. Puede usar filtros como la disponibilidad de revisiones, gravedad y puntuación de EPSS para restringir la lista de alertas a los criterios específicos coincidentes. Consulta Filtros de vista del panel Dependabot.

Para más información sobre cómo los administradores de AppSec pueden usar mejor estas métricas para optimizar la corrección de alertas, consulta Priorización de alertas de Dependabot mediante métricas.

Entre las métricas clave para la priorización se incluyen:

  •         **Gravedad**: nivel de impacto de una vulnerabilidad (crítica, alta, media o baja)

  •         **Explotabilidad**: la facilidad con la que se puede explotar una vulnerabilidad en la práctica, incluidas las puntuaciones de EPSS

  •         **Relación de dependencia**: si la dependencia vulnerable es directa o transitiva (indirecta)

  •         **Ámbito de dependencia**: si la vulnerabilidad afecta a las dependencias en tiempo de ejecución, las dependencias de desarrollo o ambas

  •         **Uso real**: indica si el código vulnerable se usa realmente en la aplicación.

  •         **Disponibilidad de revisiones**: si hay una corrección disponible para la vulnerabilidad.

Seguimiento de resolución de alertas

Puede supervisar cómo su organización resuelve Dependabot alerts con el tiempo. Las métricas de resolución de alertas muestran el número de alertas:

  • Corregido por Dependabot
  • Descartado manualmente
  • Descartado automáticamente

Este icono también muestra el aumento del porcentaje en el número de alertas cerradas en los últimos 30 días, lo que proporciona visibilidad sobre el rendimiento de la corrección y le ayuda a identificar las tendencias en la corrección de vulnerabilidades.

Paquetes de mayor riesgo

El cuadro "Más vulnerabilidades" muestra la dependencia que tiene más vulnerabilidades en tu organización, junto con un enlace a las alertas relacionadas en todos los repositorios. Esto le ayuda a identificar rápidamente qué dependencias suponen el mayor riesgo.

Métricas de nivel de repositorio

La tabla de desglose del repositorio muestra un resumen de las alertas abiertas por repositorio, entre las que se incluyen:

  • El número total de alertas por repositorio
  • Distribución de gravedad (crítica, alta, media, baja)
  • Información de explotabilidad (por ejemplo, EPSS > 1%)

Esta tabla se puede ordenar por cada columna, lo que le ayuda a identificar qué repositorios están más en riesgo y priorizar los esfuerzos de corrección en consecuencia.

Lectura adicional

  •         [AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)

  •         [AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)