Exibindo métricas de alertas do Dependabot

Você pode usar a visão geral de segurança para ver quantos Dependabot alerts estão em repositórios em toda a organização, priorizar os alertas mais críticos a serem corrigidos e identificar repositórios em que talvez seja necessário tomar medidas.

Quem pode usar esse recurso?

O acesso requer:

  • Exibições da organização: acesso para gravação a repositórios na organização
  • Exibições corporativas: proprietários da organização e gerentes de segurança

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

Neste artigo

Sobre as métricas do Dependabot

A visão geral das métricas do Dependabot fornece insights valiosos para desenvolvedores e gerentes de segurança de aplicativos (AppSec). Os dados na página do painel do Dependabot contêm um funil de priorização de vulnerabilidades que ajuda a priorizar, corrigir e acompanhar vulnerabilidades com eficiência em vários repositórios. Isso garante que os riscos mais críticos sejam resolvidos primeiro e que as melhorias de segurança possam ser medidas ao longo do tempo.

Para obter mais informações sobre como os gerentes de AppSec podem usar melhor essas métricas para otimizar a correção de alertas, confira Priorizando alertas do Dependabot usando métricas.

Você poderá ver as métricas do Dependabot se tiver:

As métricas disponíveis combinam gravidade, potencial de exploração e disponibilidade de patches e ajudam das seguintes maneiras:

  •           **Priorização de alertas:** o gráfico mostra o número de **Dependabot alerts abertos**. Você pode usar filtros, como disponibilidade de patches, gravidade, pontuação de EPSS para restringir a lista de alertas aos que correspondem aos critérios. Confira [Filtros de exibição de painel do Dependabot](/code-security/security-overview/filtering-alerts-in-security-overview#dependabot-dashboard-view-filters).

  •           **Acompanhamento de correções:** o bloco "Alertas fechados" mostra o número de alertas corrigidos com o Dependabot, descartados manualmente e descartados automaticamente, fornecendo visibilidade sobre o desempenho e as tendências de correção. O bloco também mostra a porcentagem de aumento no número de alertas fechados nos últimos 30 dias.

  •           **Pacote de maior risco:** o bloco "Maioria das vulnerabilidades" mostra a dependência que tem mais vulnerabilidades na organização. O bloco também fornece um link para os alertas relacionados em todos os seus repositórios.

  •           **Detalhamento no nível do repositório:** a tabela mostra um detalhamento de alertas abertos por repositório, incluindo as contagens por gravidade (crítica, alta, média, baixa) e por potencial de exploração (por exemplo, EPSS > 1%), e pode ser classificada por cada coluna. Isso ajuda a identificar quais projetos estão sob maior risco, priorizar os esforços de correção onde são mais importantes e acompanhar o progresso ao longo do tempo em um nível granular.

Essas métricas ajudam os gerentes a medir a eficácia do gerenciamento de vulnerabilidades e a garantir a conformidade com as linhas do tempo organizacionais ou regulatórias.

  •           **Contexto acionável para desenvolvedores:** os desenvolvedores podem usar os filtros de gravidade e disponibilidade de patch para identificar as vulnerabilidades que podem ser corrigidas imediatamente, reduzindo o ruído e concentrando a atenção nos problemas que eles podem solucionar. Essas métricas ajudam a entender o perfil de risco das dependências, permitindo a priorização informada do trabalho.

Exibindo métricas do Dependabot de uma organização

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Métricas", clique no painel do Dependabot.

  4. Opcionalmente, use os filtros à sua disposição ou crie seus próprios filtros. Confira Filtros de exibição de painel do Dependabot.

  5. Opcionalmente, clique em um número no eixo x do gráfico para filtrar a lista de alertas pelos critérios relevantes (por exemplo, has:patch severity:critical,high epss_percentage:>=0.01).

  6. Ou clique em um repositório individual para ver os Dependabot alerts associados.

Configurando categorias de funil

A ordem de funil padrão é has:patch, severity:critical,high, epss_percentage>=0.01. Ao personalizar a ordem do funil, você e suas equipes podem se concentrar nas vulnerabilidades mais importantes para a organização, os ambientes ou as obrigações regulatórias, tornando os esforços de correção mais eficazes e alinhados às suas necessidades específicas.

  1. Em GitHub, acesse a página principal da organização.

  2. No nome da sua organização, clique em Security.

    Captura de tela da barra de navegação horizontal para uma organização. Uma guia, rotulada com um ícone de escudo e "Segurança", tem um contorno laranja.

  3. Na barra lateral, em "Métricas", clique no painel do Dependabot.

  4. No canto superior direito do gráfico "Priorização de alertas", clique em .

  5. Na caixa de diálogo "Configurar a ordem do funil", mova os critérios conforme desejado.

  6. Assim que terminar, clique em Mover para salvar as alterações.

Dica

Você pode redefinir a ordem de funil de volta para as configurações padrão clicando em Redefinir para padrão à direita do gráfico.