Exibindo métricas de alertas do Dependabot

Você pode usar a visão geral de segurança para ver quantos Dependabot alerts estão em repositórios em toda a sua organização, priorizar os alertas mais críticos a serem corrigidos e identificar repositórios em que talvez seja necessário agir.

Quem pode usar esse recurso?

O acesso requer:

Organizações pertencentes a uma conta do GitHub Team com o GitHub Code Security, ou pertencentes a uma conta do GitHub Enterprise com GitHub Code Security

Neste artigo

Você pode exibir métricas para Dependabot alerts acompanhar e priorizar vulnerabilidades em toda a sua organização. Para obter mais informações sobre as métricas disponíveis e como usá-las, consulte Sobre as métricas para alertas do Dependabot.

Este artigo explica como acessar e exibir essas métricas para sua organização.

Exibindo métricas para Dependabot uma organização

  1. Em GitHub, acesse a página principal da organização.
  2. No nome da sua organização, clique na Security and quality aba.
  3. Na barra lateral, em "Insights", clique no Dependabot painel.
  4. Opcionalmente, use os filtros à sua disposição ou crie seus próprios filtros. Confira Filtros de exibição de painel do Dependabot.
  5. Opcionalmente, clique em um número no eixo x do gráfico para filtrar a lista de alertas pelos critérios relevantes (por exemplo, has:patch severity:critical,high epss_percentage:>=0.01).
  6. Como uma opção, clique em um repositório individual para ver o associado Dependabot alerts.

Configurando categorias de funil

A ordem de funil padrão é has:patch, severity:critical,high, epss_percentage>=0.01. Ao personalizar a ordem do funil, você e suas equipes podem se concentrar nas vulnerabilidades mais importantes para a organização, os ambientes ou as obrigações regulatórias, tornando os esforços de correção mais eficazes e alinhados às suas necessidades específicas.

  1. Em GitHub, acesse a página principal da organização.
  2. No nome da sua organização, clique na Security and quality aba.
  3. Na barra lateral, em "Insights", clique no Dependabot painel.
  4. No canto superior direito do gráfico "Priorização do alerta", clique em .
  5. Na caixa de diálogo "Configurar a ordem do funil", mova os critérios conforme desejado.
  6. Assim que terminar, clique em Mover para salvar as alterações.

Dica

Você pode redefinir a ordem de funil de volta para as configurações padrão clicando em Redefinir para padrão à direita do gráfico.

Usando métricas efetivamente

Utilize métricas Dependabot para:

  • Priorizar a correção: concentre-se em alertas críticos e de alta gravidade que são facilmente exploráveis. Os desenvolvedores podem usar filtros de severidade e disponibilidade de patch para identificar vulnerabilidades que podem corrigir imediatamente, reduzindo o ruído e concentrando a atenção em problemas acionáveis.
  • Monitorar o progresso: acompanhe a rapidez com que sua organização resolve vulnerabilidades de segurança e mede a eficácia dos esforços de gerenciamento de vulnerabilidades.
  • Tome decisões controladas por dados: aloque recursos com base nos padrões reais de risco e de uso. A divisão no nível do repositório ajuda você a entender quais projetos estão mais em risco e onde concentrar os esforços de correção.
  • Identificar tendências: entenda se sua postura de segurança está melhorando ao longo do tempo e garanta a conformidade com linhas do tempo organizacionais ou regulatórias.
  • Entenda os perfis de risco: os desenvolvedores podem usar essas métricas para entender o perfil de risco de suas dependências, permitindo a priorização informada do trabalho.