Visualización de métricas para alertas de Dependabot

Puede usar información general de seguridad para ver cuántos Dependabot alerts están en los repositorios de toda la organización, para priorizar las alertas más críticas que se corregirán e identificar los repositorios en los que es posible que tenga que tomar medidas.

¿Quién puede utilizar esta característica?

El acceso requiere:

Organizaciones que pertenecen a una cuenta de GitHub Team con GitHub Code Security, o a una cuenta de GitHub Enterprise con GitHub Code Security

En este artículo

Puede ver las métricas para Dependabot alerts realizar un seguimiento y priorizar las vulnerabilidades en toda la organización. Para obtener más información sobre las métricas disponibles y cómo usarlas, consulte Acerca de las métricas de las alertas de Dependabot.

En este artículo se explica cómo acceder a estas métricas y ver estas métricas para su organización.

Visualización de métricas de Dependabot para una organización

  1. En GitHub, navega a la página principal de tu organización.
  2. Debajo del nombre de su organización, haga clic en la pestaña Security and quality.
  3. En la barra lateral, en "Insights", haga clic en Dependabot panel de control.
  4. Opcionalmente, usa los filtros disponibles o crea los tuyos propios. Consulta Filtros de vista del panel Dependabot.
  5. Opcionalmente, haz clic en un número del eje X del gráfico para filtrar la lista de alertas por los criterios pertinentes (por ejemplo, has:patch severity:critical,high epss_percentage:>=0.01).
  6. Opcionalmente, haga clic en un repositorio individual para ver el objeto asociado Dependabot alerts.

Configuración de categorías de embudo

El orden de embudo predeterminado es has:patch, severity:critical,high, epss_percentage>=0.01. Al adaptar el orden del embudo’, tu y tus equipos os podéis centrar en las vulnerabilidades que más importan a la organización, entornos u obligaciones normativas, lo que hace que los esfuerzos de corrección sean más eficaces y alineados con tus necesidades específicas.

  1. En GitHub, navega a la página principal de tu organización.
  2. Debajo del nombre de su organización, haga clic en la pestaña Security and quality.
  3. En la barra lateral, en "Insights", haga clic en Dependabot dashboard.
  4. En la parte superior derecha del gráfico "Priorización de alertas", haga clic en .
  5. En el cuadro de diálogo "Configure funnel order", cambia los criterios según sea necesario.
  6. Cuando hayas terminado, haz clic en Move para guardar los cambios.

Sugerencia

Para restablecer el orden de embudo de nuevo a la configuración predeterminada, haz clic en Reset to default a la derecha del gráfico.

Uso eficaz de métricas

Usar Dependabot métricas para:

  • Priorizar la corrección: céntrese en alertas críticas y de alta gravedad que se puedan aprovechar fácilmente. Los desarrolladores pueden usar filtros de severidad y disponibilidad de parches para identificar vulnerabilidades que pueden corregir inmediatamente, reduciendo el ruido y centrando la atención en problemas accionables.
  • Supervisar el progreso: realice un seguimiento de la rapidez con la que su organización resuelva las vulnerabilidades de seguridad y mida la eficacia de los esfuerzos de administración de vulnerabilidades.
  • Tomar decisiones controladas por datos: asigne recursos basados en patrones de uso y riesgo reales. El desglose de nivel de repositorio le ayuda a comprender qué proyectos están más en riesgo y dónde centrar los esfuerzos de corrección.
  • Identificar tendencias: Comprenda si la postura de seguridad mejora con el tiempo y asegure el cumplimiento con los plazos organizativos o regulatorios.
  • Descripción de los perfiles de riesgo: los desarrolladores pueden usar estas métricas para comprender el perfil de riesgo de sus dependencias, lo que permite la priorización informada del trabajo.