查看 Dependabot 警报的指标

可以使用安全概览来查看组织的存储库中有多少个 Dependabot alerts,以确定要修复的最关键警报的优先级并确定可能需要执行的操作的存储库。

谁可以使用此功能?

访问权限要求: * admin 在存储库中的角色。

具有 GitHub Code Security 的 GitHub Team 帐户拥有的组织,或具有 GitHub Code Security 的 GitHub Enterprise 帐户拥有的组织

在本文中

可以查看 Dependabot alerts 的指标,以跟踪整个组织的漏洞并确定其优先级。 有关可用指标及其用法的详细信息,请参阅 关于 Dependabot 警报的度量标准

本文介绍如何访问和查看组织的这些指标。

查看组织的 Dependabot 指标

  1. 在 GitHub 上,导航到组织的主页面。1. 在组织名称下,单击“ Security”****。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  2. 在侧栏的“指标”下,单击 Dependabot 仪表板

  3. (可选)使用随时可用的筛选器,或生成自己的筛选器。 请参阅 Dependabot 仪表板视图筛选器

  4. (可选)单击图表 x 轴上的数字,按相关条件(例如 has:patch severity:critical,high epss_percentage:>=0.01)筛选警报列表。

  5. (可选)单击单个存储库以查看关联的 Dependabot alerts。

配置漏斗类别

默认漏斗顺序为 has:patch, severity:critical,high, epss_percentage>=0.01。 通过定制漏斗顺序,你和你的团队可以专注解决对你的组织、环境或法规义务最重要的漏洞,使修正工作更加有效,并符合你的特定需求。

  1. 在 GitHub 上,导航到组织的主页面。1. 在组织名称下,单击“ Security”****。

    组织的水平导航栏的屏幕截图。 标有盾牌图标和“安全”字样的选项卡以深橙色轮廓标出。

  2. 在侧栏的“指标”下,单击 Dependabot 仪表板

  3. 在“警报优先级排序”图的右上角,单击“”。

  4. 在“配置漏斗顺序”对话窗口中,根据需要移动条件。

  5. 完成后,选择“Move”以保存更改****。

提示

通过单击图像右侧的“Reset to default”可以将漏斗顺序重置回默认设置****。

有效使用指标

使用 Dependabot 指标:

  •         **确定修正优先级**:专注于易于利用的关键和高严重性警报。 开发人员可以使用严重性和修补可用性筛选器来识别可以立即修复的漏洞,减少干扰,并将注意力集中在可作的问题上。

  •         **监视进度**:跟踪组织解决安全漏洞的速度,并衡量漏洞管理工作的有效性。

  •         **做出数据驱动决策**:根据实际风险和使用模式分配资源。 存储库级细分可帮助你了解哪些项目处于最危险状态,以及将修正工作集中在何处。

  •         **确定趋势**:了解安全状况是否随时间推移而改善,并确保符合组织或法规时间表。

  •         **了解风险概况**:开发人员可以使用这些指标来了解其依赖项的风险状况,从而明智地确定工作优先级。