組織全体の脆弱性を追跡し、優先順位を付けるために、Dependabot alerts のメトリクスを表示できます。 使用可能なメトリックとその使用方法の詳細については、 Dependabot アラートのメトリックについて を参照してください。
この記事では、組織のこれらのメトリックにアクセスして表示する方法について説明します。
Organization での Dependabot のメトリックの表示
-
GitHub で、organization のメイン ページに移動します。1. Organization 名の下にある [ Security] をクリックします。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/images/help/organizations/organization-security-tab.png)
-
サイド バーの [Metrics] で、 [Dependabot dashboard] をクリックします。
-
必要に応じて、自由にフィルターを使うか、独自のフィルターを作成します。 Dependabot ダッシュボード ビューのフィルターに関する記事をご覧ください。
-
必要に応じて、グラフの x 軸の数値をクリックして、関連する条件 (
has:patch severity:critical,high epss_percentage:>=0.01など) でアラート一覧をフィルター処理します。 -
必要に応じて、個々のリポジトリをクリックして、関連付けられた Dependabot alerts を表示します。
![組織の水平ナビゲーション バーのスクリーンショット。 盾のアイコンと [セキュリティ] というラベルのタブが、濃いオレンジ色の枠線で囲まれています。](/assets/cb-22170/mw-1440/images/help/organizations/organization-security-tab.webp)
フィルター カテゴリの構成
フィルターの既定の順序は has:patch, severity:critical,high, epss_percentage>=0.01 です。 フィルターの順序を調整することで、organization、環境、規制の義務に最も重要な脆弱性に集中して、修復作業をより効果的にし、特定のニーズに合わせて調整できます。
-
GitHub で、organization のメイン ページに移動します。1. Organization 名の下にある [ Security] をクリックします。
-
サイド バーの [Metrics] で、 [Dependabot dashboard] をクリックします。
-
[Alert prioritization] グラフの右上にある をクリックします。
-
[Configure funnel order] ダイアログで、必要に応じて条件を移動します。
-
終えたら、[Move] をクリックして変更を保存します。
ヒント
グラフの右側にある [Reset to default] をクリックすると、フィルターの順序を既定の設定に戻すことができます。
メトリックを効果的に使用する
Dependabot メトリックを使用して、次を行います。
-
**修復に優先順位を付ける**: 悪用しやすい重大および重大度の高いアラートに重点を置く。 開発者は、重大度フィルターとパッチ可用性フィルターを使用して、すぐに修正できる脆弱性を特定し、ノイズを減らし、対処可能な問題に注意を向けることができます。 -
**進行状況の監視**: 組織がセキュリティの脆弱性を解決する速度を追跡し、脆弱性管理作業の有効性を測定します。 -
**データドリブンの決定を行う**: 実際のリスクと使用パターンに基づいてリソースを割り当てます。 リポジトリ レベルの内訳は、最もリスクが高いプロジェクトと、修復作業に集中する場所を理解するのに役立ちます。 -
**傾向を特定**する: セキュリティ体制が時間の経過と共に改善されているかどうかを理解し、組織または規制のタイムラインに確実に準拠します。 -
**リスク プロファイルを理解**する: 開発者はこれらのメトリックを使用して依存関係のリスク プロファイルを理解し、情報に基づいた作業の優先順位付けを可能にします。