Dependabot 경고에 대한 메트릭 정보

메트릭을 사용하여 조직 전체에서 Dependabot alerts를 추적하고 우선 순위를 지정합니다.

누가 이 기능을 사용할 수 있나요?

액세스에는 다음이 필요합니다.

GitHub Team 계정이 GitHub Code Security로 소유하거나 GitHub Enterprise 계정이 GitHub Code Security로 소유한 조직

이 기사에서

Dependabot alerts에 대한 지표는 조직의 종속성 보안 상태를 이해하고 취약점 해결의 진행 상황을 추적하는 데 도움이 됩니다. 이러한 메트릭을 사용하여 수정 작업의 우선 순위를 지정하고 가장 중요한 보안 문제에 집중할 수 있습니다.

Dependabot alerts에 대한 지표는 여러분 조직의 보안 개요에서 확인할 수 있습니다.

메트릭을 볼 수 있는 사람

"이 기능을 사용할 수 있는 사용자"에 언급된 권한 중 하나가 있는 경우 Dependabot 메트릭을 볼 수 있습니다. 문서 맨 위에 있는 상자입니다.

데이터가 도움이 될 수 있는 방법

사용 가능한 메트릭은 심각도, 악용 가능성 및 패치 가용성을 결합하여 다음을 지원합니다.

  •         **경고 우선 순위 지정**: 심각도, 악용 가능성 점수 및 패치 가용성에 따라 즉각적인 주의가 필요한 가장 중요한 취약성에 집중합니다.

  •         **수정 진행률 추적**: 조직에서 취약성을 얼마나 빨리 해결하는지 모니터링하고 시간에 따른 추세를 식별합니다.

  •         **고위험 종속성 식별**: 리포지토리 전체에서 가장 큰 보안 위험을 초래하는 패키지를 빠르게 발견합니다.

  •         **데이터 기반 의사 결정**: 가장 주의가 필요한 리포지토리 및 취약성을 이해하여 리소스를 효과적으로 할당합니다.

이러한 메트릭은 애플리케이션 보안 관리자가 취약성 관리 프로그램의 효과를 측정하고 개발자가 즉시 해결할 수 있는 취약성을 식별하는 데 도움이 됩니다.

경고 우선 순위 지정

메트릭 대시보드에는 열린 Dependabot alerts 의 수가 표시됩니다. 패치 가용성, 심각도 및 EPSS 점수와 같은 필터를 사용하여 경고 목록을 일치하는 특정 조건으로 좁힐 수 있습니다. Dependabot 대시보드 보기 필터를 참조하세요.

          [AUTOTITLE](/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)에서 AppSec 관리자가 해당 메트릭을 가장 잘 사용하여 경고 수정을 최적화하는 방법에 대한 자세한 내용을 확인하세요.

우선 순위 지정에 대한 주요 메트릭은 다음과 같습니다.

  •         **심각도**: 취약성의 영향 수준(위험, 높음, 중간 또는 낮음)

  •         **악용 가능성**: EPSS 점수를 포함하여 실제로 취약성을 얼마나 쉽게 악용할 수 있는지

  •         **종속성 관계**: 취약한 종속성이 직접 종속성인지 전이적인지 여부(간접)

  •         **종속성 범위**: 취약성이 런타임 종속성, 개발 종속성 또는 둘 다에 영향을 미치는지 여부

  •         **실제 사용량**: 취약한 코드가 애플리케이션에서 실제로 사용되는지 여부

  •         **패치 가용성**: 취약성에 대한 수정을 사용할 수 있는지 여부

경고 해결 추적

조직이 시간이 지남에 따라 Dependabot alerts를 어떻게 해결하는지 모니터링할 수 있습니다. 경고 해결 메트릭은 경고 수를 표시합니다.

  • Dependabot에 의해 수정됨
  • 수동으로 해제됨
  • 자동 해제됨

또한 이 타일은 지난 30일 동안 닫힌 경고 수의 백분율 증가를 표시하여 수정 성능에 대한 가시성을 제공하고 취약성 수정 추세를 식별하는 데 도움이 됩니다.

위험 수준이 가장 높은 패키지

"가장 취약성" 타일은 조직에서 가장 취약성이 많은 종속성과 모든 리포지토리의 관련 경고에 대한 링크를 표시합니다. 이렇게 하면 가장 큰 위험을 초래하는 종속성을 빠르게 식별할 수 있습니다.

리포지토리 수준 메트릭

리포지토리 분석 테이블에는 다음을 비롯한 리포지토리별 열린 경고 요약이 표시됩니다.

  • 리포지토리당 총 경고 수
  • 심각도 분포(위험, 높음, 중간, 낮음)
  • 악용 가능성 정보(예: EPSS > 1%)

이 테이블은 각 열별로 정렬할 수 있으므로 가장 위험한 리포지토리를 식별하고 그에 따라 수정 작업의 우선 순위를 지정할 수 있습니다.

추가 읽기

  •         [AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)

  •         [AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)