Dependabot alertsのメトリックは、組織の依存関係のセキュリティ体制を理解し、脆弱性の解決の進行状況を追跡するのに役立ちます。 これらのメトリックを使用して、修復作業に優先順位を付け、最も重要なセキュリティの問題に焦点を当てることができます。
Dependabot alertsのメトリックは、組織のセキュリティの概要で確認できます。
メトリックを表示できるユーザー
「この機能を使用できるユーザー」に記載されているいずれかのアクセス許可がある場合は、 Dependabot メトリックを確認できます。 記事の上部にあるボックス。
データが役立つ方法
使用可能なメトリックは、重大度、悪用可能性、およびパッチの可用性を組み合わせて、次の場合に役立ちます。
- アラートに優先順位を付ける: 重大度、悪用可能性スコア、パッチの可用性に基づいて直ちに注意を払う必要がある最も重大な脆弱性に焦点を当てます。
- 修復の進行状況を追跡する: 組織が脆弱性を解決する速度を監視し、時間の経過に伴う傾向を特定します。
- リスクの高い依存関係を特定する: リポジトリ全体で最大のセキュリティ リスクをもたらすパッケージをすばやく特定します。
- データドリブンの決定を行う: 最も注意が必要なリポジトリと脆弱性を理解することで、リソースを効果的に割り当てます。
これらのメトリックは、アプリケーション セキュリティ マネージャーが脆弱性管理プログラムの有効性を測定し、開発者が直ちに修正できる脆弱性を特定するのに役立ちます。
アラートの優先順位付け
メトリック ダッシュボードには、 開いている Dependabot alerts の数が表示されます。 パッチの可用性、重大度、EPSS スコアなどのフィルターを使用して、特定の条件に一致するアラートの一覧を絞り込むことができます。 Dependabot ダッシュボード ビューのフィルターに関する記事をご覧ください。
AppSec マネージャーがアラートを最適に修正するための、これらのメトリックの最善の使い方について詳しくは、「メトリックを使用した Dependabot アラートの優先順位付け」をご覧ください。
優先順位付けの主なメトリックは次のとおりです。
- 重大度: 脆弱性の影響レベル (重大、高、中、低)
- 悪用可能性: EPSS スコアを含め、実際に脆弱性をいかに簡単に悪用できるか
- 依存関係: 脆弱な依存関係が直接的か推移的か (間接)
- 依存関係スコープ: 脆弱性がランタイムの依存関係、開発の依存関係、またはその両方に影響を与えるかどうか
- 実際の使用方法: 脆弱なコードが実際にアプリケーションで使用されているかどうか
- パッチの可用性: 脆弱性に対して修正プログラムが利用可能かどうか
アラートの解決状況追跡
組織が時間の経過と同時に Dependabot alerts を解決する方法を監視できます。 アラート解決メトリックは、アラートの数を示します。
- 修正者: Dependabot
- 手動で却下
- 自動無視
このタイルには、過去 30 日間に閉じられたアラートの数の割合も表示され、修復のパフォーマンスを可視化し、脆弱性の修復の傾向を特定するのに役立ちます。
最もリスクの高いパッケージ
[ほとんどの脆弱性] タイルには、組織内で最も脆弱性が多い依存関係と、すべてのリポジトリにわたる関連アラートへのリンクが表示されます。 これにより、どの依存関係が最大のリスクをもたらすかを迅速に特定できます。
リポジトリ レベルのメトリック
リポジトリの内訳テーブルには、次のような、リポジトリ別に開いているアラートの概要が表示されます。
- リポジトリあたりのアラートの合計数
- 重大度分布 (重大、高、中、低)
- 悪用可能性情報 (EPSS > 1%など)
このテーブルは各列で並べ替えることができます。これにより、最もリスクが高いリポジトリを特定し、それに応じて修復作業に優先順位を付けることができます。