Dependabot 警报指标帮助您了解组织依赖项的安全状况,并跟踪修复漏洞的进展。您可以使用这些指标来优先安排修复工作,聚焦最关键的安全问题。
Dependabot 警报指标可在组织的安全概览中查看。
谁可以查看指标
如果您拥有本文档顶部 “谁可以使用此功能?” 框中列出的任意权限,即可查看 Dependabot 指标。
数据可以帮助您的方式
可用的指标结合了严重程度、可利用性和补丁可用性,以帮助您
- 优先排序警报:根据严重程度、可利用性评分和补丁可用性,聚焦最需要立即处理的关键漏洞。
- 跟踪修复进度:监控组织解决漏洞的速度,并随时间识别趋势。
- 识别高风险依赖项:快速发现对整个仓库风险最大的包。
- 做出数据驱动的决策:通过了解哪些仓库和漏洞最需要关注,来有效分配资源。
这些指标既帮助应用安全经理衡量漏洞管理计划的有效性,也帮助开发者识别可以立即修复的漏洞。
警报优先级排序
指标仪表板显示 打开的 Dependabot 警报 数量。您可以使用补丁可用性、严重程度和 EPSS 分数等筛选条件,将警报列表缩小到符合特定标准的项。参见 Dependabot 仪表板视图筛选器。
欲了解安全团队如何最佳利用这些指标来优化警报修复,请参阅 使用指标对 Dependabot 警报进行优先级排序。
用于优先级排序的关键指标包括
- 严重程度:漏洞的影响级别(关键、高、中、低)
- 可利用性:漏洞在实际中被利用的难易程度,包括 EPSS 分数
- 依赖关系类型:受影响的依赖是直接依赖还是传递(间接)依赖
- 依赖范围:漏洞是影响运行时依赖、开发依赖,还是两者皆受影响
- 实际使用情况:易受影响的代码是否真的在您的应用中被使用
- 补丁可用性:是否已有针对该漏洞的修复
警报解决进度跟踪
您可以随时间监控组织如何解决 Dependabot 警报。警报解决指标展示了以下类型警报的数量
- 由 Dependabot 修复
- 手动忽略
- 自动忽略
此磁贴还显示过去 30 天内关闭的警报数量的百分比增长,帮助您了解修复绩效并识别漏洞修复趋势。
最高风险的包
“Most vulnerabilities” 磁贴展示了组织中拥有最多漏洞的依赖,并提供指向所有仓库中相关警报的链接,帮助您快速识别风险最大的依赖。
仓库级别指标
仓库细分表按仓库显示打开警报的摘要,包括
- 每个仓库的警报总数
- 严重程度分布(关键、高、中、低)
- 可利用性信息(例如 EPSS > 1%)
该表可按任意列排序,帮助您识别风险最高的仓库并相应地优先安排修复工作。