Dependabot alerts 的指标可帮助你了解组织依赖项的安全状况,并跟踪解决漏洞的进度。 可以使用这些指标确定修正工作的优先级,并专注于最关键的安全问题。
Dependabot alerts 的指标可以在组织的安全概述中查看。
谁可以查看指标
如果你拥有“谁可以使用此功能?”中提到的权限之一,则可以看到 Dependabot 指标 文章顶部的框。
数据能够如何帮助你
可用指标结合了严重性、可利用性和修补程序可用性,以帮助你:
-
**确定警报优先级**:关注最关键的漏洞,这些漏洞需要根据严重性、可利用性分数和修补程序可用性立即引起注意。 -
**跟踪修正进度**:监视组织解决漏洞的速度并识别随时间推移的趋势。 -
**确定高风险依赖项**:快速发现在存储库中构成最大安全风险的包。 -
**做出数据驱动的决策**:通过了解哪些存储库和漏洞最需要关注来有效地分配资源。
这些指标有助于应用程序安全经理衡量其漏洞管理程序的有效性,开发人员可确定可以立即修复的漏洞。
警报优先级
指标仪表板显示打开的 % data variables.product.prodname_dependabot_alerts %} 的数量。 可以使用筛选器(例如补丁、严重性和 EPSS 分数)将警报列表缩小到匹配特定条件的警报。 请参阅 Dependabot 仪表板视图筛选器。
要详细了解 AppSec 经理如何充分使用这些指标来优化警报修复,请参阅 使用指标确定 Dependabot 警报的优先级。
优先级的关键指标包括:
-
**严重性**:漏洞的影响级别(严重、高、中或低) -
**利用性**:在实践中如何轻松利用漏洞,包括 EPSS 分数 -
**依赖关系**:易受攻击的依赖项是直接的还是可传递的(间接的) -
**依赖项范围**:漏洞是否影响运行时依赖项、开发依赖项或两者 -
**实际用法**:是否在应用程序中实际使用易受攻击的代码 -
**修补程序可用性**:修补程序是否可用于漏洞
警报解决跟踪
可以监控组织如何随着时间的推移如何解决 Dependabot alerts。 警报解析指标显示警报数:
- 由Dependabot修复
- 手动消除
- 自动消除
此磁贴还显示过去 30 天内关闭警报数量的百分比增加情况,从而让你了解修正性能,并帮助识别漏洞修正的趋势。
风险最高的包
“大多数漏洞”磁贴显示组织中存在最多漏洞的依赖项,以及指向所有存储库中相关警报的链接。 这有助于快速确定哪些依赖项构成最大的风险。
存储库级指标
存储库细分表按存储库显示打开警报的摘要,包括:
- 每个存储库的警报总数
- 严重性分布(严重、高、中、低)
- 可利用性信息(例如 EPSS > 1%)
此表可以按每一列进行排序,帮助你确定哪些存储库处于最危险状态,并相应地确定修正工作的优先级。
延伸阅读
-
[AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts) -
[AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)