Dependabot アラートのメトリックの表示

セキュリティの概要を使用して、組織全体のリポジトリ内の Dependabot alerts の数を確認し、修正する最も重要なアラートに優先順位を付け、アクションを実行する必要があるリポジトリを特定できます。

この機能を使用できるユーザーについて

アクセスには以下が必要です。

GitHub Team を使用する GitHub Code Security アカウントによって所有されている organization、または GitHub Enterprise を使用する GitHub Code Security アカウントによって所有されている organization

この記事で

組織全体の脆弱性を追跡して優先順位を付けるために、 Dependabot alerts のメトリックを表示できます。 使用可能なメトリックとその使用方法の詳細については、 Dependabot アラートのメトリックについて を参照してください。

この記事では、組織のこれらのメトリックにアクセスして表示する方法について説明します。

組織の Dependabot のメトリックの表示

  1. GitHub で、organization のメイン ページに移動します。
  2. 組織名の下の [ Security and quality ] タブをクリックします。
  3. サイドバーの [Insights] で、ダッシュボードDependabot をクリックします。
  4. 必要に応じて、自由にフィルターを使うか、独自のフィルターを作成します。 Dependabot ダッシュボード ビューのフィルターに関する記事をご覧ください。
  5. 必要に応じて、グラフの x 軸の数値をクリックして、関連する条件 (has:patch severity:critical,high epss_percentage:>=0.01 など) でアラート一覧をフィルター処理します。
  6. 必要に応じて、個々のリポジトリをクリックして、関連付けられている Dependabot alertsを表示します。

ファネルカテゴリの構成

フィルターの既定の順序は has:patch, severity:critical,high, epss_percentage>=0.01 です。 ファネルの順序を調整することで、ご自身の組織、環境、または規制の義務にとって最も重要な脆弱性にフォーカスし、修復作業をより効果的にし、特定のニーズと一致させることができます。

  1. GitHub で、organization のメイン ページに移動します。
  2. 組織名の下の [ Security and quality ] タブをクリックします。
  3. サイドバーの [Insights] で、ダッシュボードDependabot をクリックします。
  4. [アラートの優先順位付け] グラフの右上にある [ ] をクリックします。
  5. [Configure funnel order] ダイアログで、必要に応じて条件を移動します。
  6. 終えたら、[Move] をクリックして変更を保存します。

ヒント

グラフの右側にある [Reset to default] をクリックすると、フィルターの順序を既定の設定に戻すことができます。

メトリックを効果的に使用する

          Dependabotメトリックを使用して、次の手順を実行します。
  • 修復に優先順位を付ける: 悪用しやすい重大および重大度の高いアラートに重点を置く。 開発者は、重大度フィルターとパッチ可用性フィルターを使用して、すぐに修正できる脆弱性を特定し、ノイズを減らし、対処可能な問題に注意を向けることができます。
  • 進行状況の監視: 組織がセキュリティの脆弱性を解決する速度を追跡し、脆弱性管理作業の有効性を測定します。
  • データドリブンの決定を行う: 実際のリスクと使用パターンに基づいてリソースを割り当てます。 リポジトリ レベルの内訳は、最もリスクが高いプロジェクトと、修復作業に集中する場所を理解するのに役立ちます。
  • 傾向を特定する: セキュリティ体制が時間の経過と共に改善されているかどうかを理解し、組織または規制のタイムラインに確実に準拠します。
  • リスク プロファイルを理解する: 開発者はこれらのメトリックを使用して依存関係のリスク プロファイルを理解し、情報に基づいた作業の優先順位付けを可能にします。