À propos des métriques pour les alertes Dependabot

Utilisez des métriques pour suivre et hiérarchiser Dependabot alerts au sein de votre organisation.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

Organisations appartenant à un compte GitHub Team avec GitHub Code Security, ou appartenant à un compte GitHub Enterprise avec GitHub Code Security

Dans cet article

Les mesures relatives à Dependabot alerts vous aident à comprendre la posture de sécurité des dépendances de votre organisation et à suivre l'avancement dans la résolution des vulnérabilités. Vous pouvez utiliser ces métriques pour hiérarchiser les efforts de correction et vous concentrer sur les problèmes de sécurité les plus critiques.

Les métriques pour Dependabot alerts sont disponibles sur la vue d’ensemble de la sécurité de votre organisation.

Qui peut afficher les métriques

Vous pouvez voir Dependabot métriques si vous disposez de l’une des autorisations mentionnées dans la section « Qui peut utiliser cette fonctionnalité ? » boîte en haut de l’article.

Façons dont les données peuvent vous aider

Les métriques disponibles combinent la gravité, l’exploitabilité et la disponibilité des correctifs pour vous aider à :

  •         **Hiérarchiser les alertes : concentrez-vous** sur les vulnérabilités les plus critiques qui nécessitent une attention immédiate en fonction de la gravité, des scores d’exploitabilité et de la disponibilité des correctifs.

  •         **Suivre la progression de la correction** : surveillez la rapidité avec laquelle votre organisation résout les vulnérabilités et identifie les tendances au fil du temps.

  •         **Identifiez les dépendances à haut risque** : placez rapidement des packages qui présentent le plus grand risque de sécurité sur vos dépôts.

  •         **Prendre des décisions pilotées par les données** : allouez les ressources efficacement en comprenant quels référentiels et vulnérabilités nécessitent la plus grande attention.

Ces métriques aident les gestionnaires de sécurité des applications à mesurer l’efficacité de leurs programmes de gestion des vulnérabilités et les développeurs à identifier les vulnérabilités qu’ils peuvent corriger immédiatement.

Hiérarchisation des alertes

Le tableau de bord des métriques affiche le nombre de données ouvertes Dependabot alerts. Vous pouvez utiliser des filtres tels que la disponibilité des correctifs, la gravité et le score EPSS pour affiner la liste des alertes à celles qui correspondent à des critères spécifiques. Consultez Filtres de tableau de bord Dependabot.

Pour plus d’informations sur la manière dont les gestionnaires AppSec peuvent utiliser au mieux ces mesures pour optimiser la correction des alertes, consultez Classement des alertes Dependabot par ordre de priorité à l’aide de mesures.

Les métriques clés pour la hiérarchisation sont les suivantes :

  •         **Gravité** : niveau d’impact d’une vulnérabilité (critique, élevé, moyen ou faible)

  •         **Exploitabilité** : comment une vulnérabilité peut être exploitée facilement dans la pratique, y compris les scores EPSS

  •         **Relation de dépendance** : indique si la dépendance vulnérable est directe ou transitive (indirecte)

  •         **Étendue** des dépendances : indique si la vulnérabilité affecte les dépendances d’exécution, les dépendances de développement ou les deux

  •         **Utilisation réelle** : indique si le code vulnérable est réellement utilisé dans votre application

  •         **Disponibilité des correctifs** : indique si un correctif est disponible pour la vulnérabilité

Suivi de la résolution des alertes

Vous pouvez surveiller la façon dont votre organisation résout Dependabot alerts au fil du temps. Les métriques de résolution des alertes indiquent le nombre d’alertes :

  • Résolu par Dependabot
  • Rejeté manuellement
  • Rejeté automatiquement

Cette vignette affiche également l’augmentation en pourcentage du nombre d’alertes fermées au cours des 30 derniers jours, ce qui offre une visibilité sur les performances de correction et vous aide à identifier les tendances dans la correction des vulnérabilités.

Packages à risque le plus élevé

La vignette « La plupart des vulnérabilités » montre la dépendance qui présente les vulnérabilités les plus importantes dans votre organisation, ainsi qu’un lien vers les alertes associées sur tous vos dépôts. Cela vous aide à identifier rapidement les dépendances qui présentent le plus grand risque.

Métriques au niveau du référentiel

Le tableau de répartition du référentiel affiche un résumé des alertes ouvertes par référentiel, notamment :

  • Nombre total d’alertes par référentiel
  • Distribution de gravité (critique, élevée, moyenne, faible)
  • Informations sur l'exploitabilité (par exemple, EPSS > 1%)

Cette table peut être triée par chaque colonne, ce qui vous permet d’identifier les référentiels les plus à risque et de hiérarchiser les efforts de correction en conséquence.

Lectures complémentaires

  •         [AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)

  •         [AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)