Dependabot alerts 的指标可帮助你了解你的组织依赖项的安全态势,并跟踪修复漏洞的进展。 可以使用这些指标确定修正工作的优先级,并专注于最关键的安全问题。
可在您组织的安全概览中查看 Dependabot alerts 的指标。
谁可以查看指标
如果你有“谁可以使用此功能?”中提到的权限之一,则可以查看 Dependabot 指标? 文章顶部的框。
数据能够如何帮助你
可用指标结合了严重性、可利用性和修补程序可用性,以帮助你:
- 确定警报优先级:关注最关键的漏洞,这些漏洞需要根据严重性、可利用性分数和修补程序可用性立即引起注意。
- 跟踪修正进度:监视组织解决漏洞的速度并识别随时间推移的趋势。
- 确定高风险依赖项:快速发现在存储库中构成最大安全风险的包。
- 做出数据驱动的决策:通过了解哪些存储库和漏洞最需要关注来有效地分配资源。
这些指标有助于应用程序安全经理衡量其漏洞管理程序的有效性,开发人员可确定可以立即修复的漏洞。
警报优先级
指标仪表板显示 打开 Dependabot alerts 次数。 可以使用筛选器(例如补丁、严重性和 EPSS 分数)将警报列表缩小到匹配特定条件的警报。 请参阅 Dependabot 仪表板视图筛选器。
要详细了解 AppSec 经理如何充分使用这些指标来优化警报修复,请参阅 使用指标确定 Dependabot 警报的优先级。
优先级的关键指标包括:
- 严重性:漏洞的影响级别(严重、高、中或低)
- 利用性:在实践中如何轻松利用漏洞,包括 EPSS 分数
- 依赖关系:易受攻击的依赖项是直接的还是可传递的(间接的)
- 依赖项范围:漏洞是否影响运行时依赖项、开发依赖项或两者
- 实际用法:是否在应用程序中实际使用易受攻击的代码
- 修补程序可用性:修补程序是否可用于漏洞
警报解析跟踪
您可以监控您的组织如何随时间推移解决 Dependabot alerts。 警报解析指标显示警报数:
- 修复者:Dependabot
- 手动消除
- 自动消除
此磁贴还显示过去 30 天内关闭警报数量的百分比增加情况,从而提供对补救绩效的可见性,并帮助您识别漏洞补救的趋势。
风险最高的包
“大多数漏洞”磁贴显示组织中存在最多漏洞的依赖项,以及指向所有存储库中相关警报的链接。 这有助于快速确定哪些依赖项构成最大的风险。
存储库级指标
存储库细分表按存储库显示打开警报的摘要,包括:
- 每个存储库的警报总数
- 严重性分布(严重、高、中、低)
- 可利用性信息(例如 EPSS > 1%)
此表可以按每一列进行排序,帮助你确定哪些存储库处于最危险状态,并相应地确定修正工作的优先级。