Метрики для Dependabot alerts помогают понять состояние безопасности зависимостей вашей организации и отслеживать прогресс в устранении уязвимостей. Вы можете использовать эти метрики, чтобы расставить приоритеты в устранении и сосредоточиться на самых критических вопросах безопасности.
Метрики для Dependabot alerts доступны в обзоре безопасности вашей организации.
Кто может просматривать метрики
Вы можете увидеть метрики Dependabot, если у вас есть одно из прав, указанных в разделе «Кто может использовать эту функцию?» В начале статьи.
Способы, которыми данные могут помочь вам
Доступные метрики объединяют степень тяжести, уязвимость и доступность патчей, чтобы помочь вам:
-
**Распределяйте приоритеты оповещений**: Сосредоточьтесь на самых критических уязвимостях, требующих немедленного внимания, исходя из их серьёзности, показателей уязвимости и доступности патчей. -
**Отслеживайте ход устранения**: Отслеживайте, как быстро ваша организация устраняет уязвимости, и выявляйте тенденции со временем. -
**Выявляйте зависимости с высоким риском**: быстро определяйте пакеты, которые представляют наибольший риск безопасности в ваших хранилищах. -
**Принимайте решения, основанные на данных: Эффективно** распределяйте ресурсы, понимая, какие хранилища и уязвимости требуют наибольшего внимания.
Эти метрики помогают как менеджерам по безопасности приложений оценивать эффективность своих программ управления уязвимостями, так и разработчикам выявлять, какие уязвимости они могут исправить немедленно.
Приоритетизация оповещений
Панель метрик показывает количество открытых Dependabot alerts. Вы можете использовать фильтры, такие как наличие патчей, степень тяжести и EPSS-показатель, чтобы сузить список оповещений до тех, кто соответствует определённым критериям. См . фильтры представлений панели мониторинга Dependabot.
Дополнительные сведения о том, как диспетчеры AppSec лучше всего использовать эти метрики для оптимизации исправления оповещений, см. в разделе Приоритет оповещений Dependabot с помощью метрик.
Ключевые показатели для приоритизации включают:
-
**Степень** тяжести: уровень воздействия уязвимости (критический, высокий, средний или низкий) -
**Уязвимость**: Насколько легко уязвимость может быть использована на практике, включая показатели EPSS -
**Зависимость:** Является ли уязвимая зависимость прямой или транзитивной (косвенной) -
**Область зависимостей**: влияет ли уязвимость на зависимости во время выполнения, зависимости разработки или на обе -
**Фактическое использование**: Действительно ли уязвимый код используется в вашем приложении -
**Доступность патча**: Есть ли исправление уязвимости
Отслеживание разрешения оповещений
Вы можете отслеживать, как ваша организация со временем разрешает Dependabot alerts. Метрики разрешения оповещений показывают количество оповещений:
- Исправлено с помощью Dependabot
- Вручную отстранён
- Автоматический отклонение
Эта плитка также показывает процентное увеличение числа закрытых оповещений за последние 30 дней, что позволяет видеть эффективность устранения и помогает выявлять тенденции в устранении уязвимостей.
Пакеты с наивысоким риском
Плитка «Больше всего уязвимостей» показывает зависимость с наибольшим количеством уязвимостей в вашей организации, а также ссылку на соответствующие оповещения во всех ваших репозиториях. Это поможет быстро определить, какие зависимости представляют наибольший риск.
Метрики уровня репозитория
Таблица разбивки репозиториев показывает сводку открытых уведомлений по репозиториям, включая:
- Общее количество оповещений на репозиторий
- Распределение тяжести (критический, высокий, средний, низкий)
- Информация об уязвимости (например, EPSS > 1%)
Эту таблицу можно отсортировать по каждому столбцу, что поможет определить, какие репозитории находятся под наибольшим риском, и соответственно расставить приоритеты по устранению.
Дополнительные материалы
-
[AUTOTITLE](/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts) -
[AUTOTITLE](/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)