Affichage des mesures pour les alertes Dependabot

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir combien de Dependabot alerts se trouvent dans les référentiels de votre organisation, afin de classer par ordre de priorité les alertes les plus critiques à résoudre et d’identifier les référentiels sur lesquels vous devrez peut-être intervenir.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

Organisations appartenant à un compte GitHub Team avec GitHub Code Security, ou appartenant à un compte GitHub Enterprise avec GitHub Code Security

Dans cet article

Vous pouvez afficher les métriques pour Dependabot alerts pour suivre et hiérarchiser les vulnérabilités au sein de votre organisation. Pour plus d’informations sur les métriques disponibles et leur utilisation, consultez À propos des métriques pour les alertes Dependabot.

Cet article explique comment accéder à ces métriques et les afficher pour votre organisation.

Affichage des mesures pour Dependabot pour une organisation

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur tableau de bord Dependabot.

  4. Vous pouvez également utiliser les filtres à votre disposition ou créer vos propres filtres. Consultez Filtres de tableau de bord Dependabot.

  5. Vous pouvez également cliquer sur un chiffre de l’axe des x du graphique pour filtrer la liste des alertes selon les critères pertinents (par exemple has:patch severity:critical,high epss_percentage:>=0.01).

  6. Vous pouvez également cliquer sur un référentiel individuel pour afficher les Dependabot alerts associées.

Configuration des catégories d’entonnoir

L’ordre par défaut de l’entonnoir est has:patch, severity:critical,high, epss_percentage>=0.01. En adaptant l’ordre du tunnel, vous et vos équipes pouvez vous concentrer sur les vulnérabilités les plus importantes pour votre organisation, vos environnements ou vos obligations réglementaires, rendant ainsi les efforts de correction plus efficaces et mieux adaptés à vos besoins spécifiques.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Securité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur tableau de bord Dependabot.

  4. En haut à droite du graphique « Classement des alertes par ordre de priorité », cliquez sur .

  5. Dans la boîte de dialogue « Configurer l’ordre de l’entonnoir », déplacez les critères comme vous le souhaitez.

  6. Une fois que vous avez terminé, cliquez sur Déplacer pour enregistrer vos modifications.

Conseil

Vous pouvez réinitialiser l’ordre de l’entonnoir aux paramètres par défaut en cliquant sur Réinitialiser les paramètres par défaut à droite du graphique.

Utilisation efficace des métriques

Utilisez les métriques Dependabot pour :

  •         **Hiérarchiser la correction : concentrez-vous** sur les alertes critiques et de gravité élevée qui sont facilement exploitables. Les développeurs peuvent utiliser des filtres de gravité et de disponibilité des correctifs pour identifier les vulnérabilités qu’ils peuvent corriger immédiatement, ce qui réduit le bruit et concentre l’attention sur les problèmes auxquels ils peuvent donner suite.

  •         **Surveiller la progression : suivez** la rapidité avec laquelle votre organisation résout les vulnérabilités de sécurité et mesurez l’efficacité des efforts de gestion des vulnérabilités.

  •         **Prendre des décisions pilotées par les données** : allouez des ressources en fonction des risques réels et des modèles d’utilisation. La répartition au niveau du référentiel vous permet de comprendre quels projets sont les plus à risque et où concentrer les efforts de correction.

  •         **Identifier les tendances** : déterminez si votre posture de sécurité s’améliore au fil du temps et vérifiez la conformité avec les chronologies organisationnelles ou réglementaires.

  •         **Comprendre les profils de risque** : les développeurs peuvent utiliser ces métriques pour comprendre le profil de risque de leurs dépendances, ce qui permet une hiérarchisation informée du travail.