您可以查看 Dependabot 警报的指标,以跟踪并优先处理组织范围内的漏洞。有关可用指标以及如何使用它们的详细信息,请参阅 关于 Dependabot 警报的指标。
本文阐述了如何访问并查看组织的这些指标。
查看组织的 Dependabot 指标
- 在 GitHub 上,前往该组织的首页。
- 在组织名称下,点击 安全与质量 选项卡。
- 在侧边栏的 “Insights” 下,点击 Dependabot 仪表板。
- 您可以选择使用现有过滤器,或自行创建过滤器。参见 Dependabot 仪表板视图过滤器。
- 您可以选择点击图表 X 轴上的数字,以使用相关条件(例如
has:patch severity:critical,high epss_percentage:>=0.01)过滤警报列表。 - 您可以选择点击单个仓库,以查看关联的 Dependabot 警报。
配置漏斗类别
默认的漏斗顺序为 has:patch, severity:critical,high, epss_percentage>=0.01。通过自定义漏斗顺序,您和您的团队可以将注意力聚焦在组织、环境或监管要求最关切的漏洞上,从而使修复工作更高效、更加契合具体需求。
- 在 GitHub 上,前往该组织的首页。
- 在组织名称下,点击 安全与质量 选项卡。
- 在侧边栏的 “Insights” 下,点击 Dependabot 仪表板。
- 在 “警报优先级” 图表的右上角,点击.
- 在 “配置漏斗顺序” 对话框中,按需移动各条件。
- 完成后,点击 Move 保存更改。
提示
您可以通过点击图表右侧的 Reset to default 将漏斗顺序重置为默认设置。
有效使用指标
使用 Dependabot 指标来
- 优先修复:聚焦可轻易被利用的关键和高危警报。开发者可以使用严重程度和补丁可用性过滤器,快速定位可立即修复的漏洞,降低噪音并将注意力集中在可操作的问题上。
- 监控进展:跟踪组织解决安全漏洞的速度,评估漏洞管理工作的成效。
- 数据驱动决策:基于实际风险和使用模式分配资源。仓库级别的细分帮助您了解哪些项目风险最高以及应将修复工作重点放在哪里。
- 识别趋势:了解安全态势是否随时间改善,确保符合组织或监管的时间表要求。
- 了解风险画像:开发者可以利用这些指标了解其依赖项的风险画像,从而对工作优先级做出更明智的判断。