Sobre as métricas para alertas do Dependabot

Utilize métricas para acompanhar e priorizar Dependabot alerts em toda a sua organização.

Quem pode usar esse recurso?

O acesso requer:

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

Neste artigo

As métricas de Dependabot alerts ajudam você a entender a postura de segurança das dependências da sua organização e acompanhar o progresso na resolução de vulnerabilidades. Você pode usar essas métricas para priorizar os esforços de correção e se concentrar nos problemas de segurança mais críticos.

As métricas de Dependabot alerts estão disponíveis na visão geral de segurança da sua organização.

Quem pode exibir métricas

Você pode ver as métricas do Dependabot se tiver uma das permissões mencionadas na seção "Quem pode usar esse recurso?" caixa na parte superior do artigo.

Maneiras pelas quais os dados podem ajudá-lo

As métricas disponíveis combinam severidade, explorabilidade e disponibilidade de patch para ajudá-lo:

  •         **Priorizar alertas**: concentre-se nas vulnerabilidades mais críticas que precisam de atenção imediata com base na gravidade, pontuações de exploração e disponibilidade de patch.

  •         **Acompanhar o progresso da correção**: monitore a rapidez com que sua organização resolve vulnerabilidades e identifique tendências ao longo do tempo.

  •         **Identificar dependências de alto risco**: detecte rapidamente pacotes que representam o maior risco de segurança em seus repositórios.

  •         **Tome decisões controladas por dados**: aloque recursos efetivamente compreendendo quais repositórios e vulnerabilidades exigem mais atenção.

Essas métricas ajudam os gerenciadores de segurança de aplicativos a medir a eficácia de seus programas de gerenciamento de vulnerabilidades e os desenvolvedores a identificar quais vulnerabilidades podem ser corrigidas imediatamente.

Priorização de alerta

O painel de métricas mostra o número de dados abertos Dependabot alerts. Você pode usar filtros como disponibilidade de patches, severidade e pontuação de EPSS para restringir a lista de alertas a esses critérios específicos correspondentes. Confira Filtros de exibição de painel do Dependabot.

Para obter mais informações sobre como os gerentes de AppSec podem usar melhor essas métricas para otimizar a correção de alertas, confira Priorizando alertas do Dependabot usando métricas.

As principais métricas de priorização incluem:

  •         **Gravidade**: o nível de impacto de uma vulnerabilidade (crítico, alto, médio ou baixo)

  •         **Explorabilidade**: quão facilmente uma vulnerabilidade pode ser explorada na prática, incluindo pontuações do EPSS

  •         **Relação de dependência**: se a dependência vulnerável é direta ou transitiva (indireta)

  •         **Escopo de dependência**: se a vulnerabilidade afeta dependências de runtime, dependências de desenvolvimento ou ambas

  •         **Uso real**: se o código vulnerável é realmente usado em seu aplicativo

  •         **Disponibilidade de patch**: se uma correção está disponível para a vulnerabilidade

Acompanhamento de resolução de alertas

Você pode monitorar como sua organização resolve Dependabot alerts ao longo do tempo. As métricas de resolução de alerta mostram o número de alertas:

  • Corrigido por Dependabot
  • Rejeitado manualmente
  • Descartado automaticamente

Esse bloco também exibe o aumento percentual no número de alertas fechados nos últimos 30 dias, fornecendo visibilidade sobre o desempenho da correção e ajudando você a identificar tendências na correção de vulnerabilidades.

Pacotes de maior risco

O painel "Mais vulnerabilidades" mostra a dependência que tem mais vulnerabilidades em sua organização, e um link para os alertas relacionados em todos os repositórios. Isso ajuda a identificar rapidamente quais dependências representam o maior risco.

Métricas no nível do repositório

A tabela de divisão do repositório mostra um resumo dos alertas abertos pelo repositório, incluindo:

  • O número total de alertas por repositório
  • Distribuição de severidade (crítica, alta, média, baixa)
  • Informações sobre a capacidade de exploração (por exemplo, EPSS > 1%)

Essa tabela pode ser classificada por cada coluna, ajudando você a identificar quais repositórios estão em maior risco e priorizar os esforços de correção de acordo.

Leitura adicional

  •         [AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)

  •         [AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)