Exibindo métricas de alertas do Dependabot

Você pode usar a visão geral de segurança para ver quantos Dependabot alerts estão em repositórios em toda a organização, priorizar os alertas mais críticos a serem corrigidos e identificar repositórios em que talvez seja necessário tomar medidas.

Quem pode usar esse recurso?

O acesso requer:

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

Neste artigo

Você pode exibir métricas para Dependabot alerts para acompanhar e priorizar vulnerabilidades em toda a sua organização. Para obter mais informações sobre as métricas disponíveis e como usá-las, consulte Sobre as métricas para alertas do Dependabot.

Este artigo explica como acessar e exibir essas métricas para sua organização.

Exibindo métricas do Dependabot de uma organização

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Métricas", clique no painel do Dependabot.

  4. Opcionalmente, use os filtros à sua disposição ou crie seus próprios filtros. Confira Filtros de exibição de painel do Dependabot.

  5. Opcionalmente, clique em um número no eixo x do gráfico para filtrar a lista de alertas pelos critérios relevantes (por exemplo, has:patch severity:critical,high epss_percentage:>=0.01).

  6. Ou clique em um repositório individual para ver os Dependabot alerts associados.

Configurando categorias de funil

A ordem de funil padrão é has:patch, severity:critical,high, epss_percentage>=0.01. Ao personalizar a ordem do funil, você e suas equipes podem se concentrar nas vulnerabilidades mais importantes para a organização, os ambientes ou as obrigações regulatórias, tornando os esforços de correção mais eficazes e alinhados às suas necessidades específicas.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Métricas", clique no painel do Dependabot.

  4. No canto superior direito do gráfico "Priorização de alertas", clique em .

  5. Na caixa de diálogo "Configurar a ordem do funil", mova os critérios conforme desejado.

  6. Assim que terminar, clique em Mover para salvar as alterações.

Dica

Você pode redefinir a ordem de funil de volta para as configurações padrão clicando em Redefinir para padrão à direita do gráfico.

Usando métricas efetivamente

Use Dependabot métricas para:

  •         **Priorizar a correção**: concentre-se em alertas críticos e de alta gravidade que são facilmente exploráveis. Os desenvolvedores podem usar filtros de severidade e disponibilidade de patch para identificar vulnerabilidades que podem corrigir imediatamente, reduzindo o ruído e concentrando a atenção em problemas acionáveis.

  •         **Monitorar o progresso**: acompanhe a rapidez com que sua organização resolve vulnerabilidades de segurança e mede a eficácia dos esforços de gerenciamento de vulnerabilidades.

  •         **Tome decisões controladas por dados**: aloque recursos com base nos padrões reais de risco e de uso. A divisão no nível do repositório ajuda você a entender quais projetos estão mais em risco e onde concentrar os esforços de correção.

  •         **Identificar tendências**: entenda se sua postura de segurança está melhorando ao longo do tempo e garanta a conformidade com linhas do tempo organizacionais ou regulatórias.

  •         **Entenda os perfis de risco**: os desenvolvedores podem usar essas métricas para entender o perfil de risco de suas dependências, permitindo a priorização informada do trabalho.