# Dependabot 警报指标

使用指标跟踪和确定整个组织的优先级 Dependabot alerts 。

Dependabot alerts 的指标可帮助你了解你的组织依赖项的安全态势，并跟踪修复漏洞的进展。 可以使用这些指标确定修正工作的优先级，并专注于最关键的安全问题。

可在您组织的安全概览中查看 Dependabot alerts 的指标。

## 谁可以查看指标

如果你有“谁可以使用此功能？”中提到的权限之一，则可以查看 Dependabot 指标？ 文章顶部的框。

## 数据能够如何帮助你

可用指标结合了严重性、可利用性和修补程序可用性，以帮助你：

* **确定警报优先级**：关注最关键的漏洞，这些漏洞需要根据严重性、可利用性分数和修补程序可用性立即引起注意。
* **跟踪修正进度**：监视组织解决漏洞的速度并识别随时间推移的趋势。
* **确定高风险依赖项**：快速发现在存储库中构成最大安全风险的包。
* **做出数据驱动的决策**：通过了解哪些存储库和漏洞最需要关注来有效地分配资源。

这些指标有助于应用程序安全经理衡量其漏洞管理程序的有效性，开发人员可确定可以立即修复的漏洞。

## 警报优先级

指标仪表板显示 **打开 Dependabot alerts** 次数。 可以使用筛选器（例如补丁、严重性和 EPSS 分数）将警报列表缩小到匹配特定条件的警报。 请参阅 [Dependabot 仪表板视图筛选器](/zh/code-security/security-overview/filtering-alerts-in-security-overview#dependabot-dashboard-view-filters)。

要详细了解 AppSec 经理如何充分使用这些指标来优化警报修复，请参阅 [使用指标确定 Dependabot 警报的优先级](/zh/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)。

优先级的关键指标包括：

* **严重性**：漏洞的影响级别（严重、高、中或低）
* **利用性**：在实践中如何轻松利用漏洞，包括 EPSS 分数
* **依赖关系**：易受攻击的依赖项是直接的还是可传递的（间接的）
* **依赖项范围**：漏洞是否影响运行时依赖项、开发依赖项或两者
* **实际用法**：是否在应用程序中实际使用易受攻击的代码
* **修补程序可用性**：修补程序是否可用于漏洞

## 警报解析跟踪

您可以监控您的组织如何随时间推移解决 Dependabot alerts。 警报解析指标显示警报数：

* 修复者：Dependabot
* 手动消除
* 自动消除

此磁贴还显示过去 30 天内关闭警报数量的百分比增加情况，从而提供对补救绩效的可见性，并帮助您识别漏洞补救的趋势。

## 风险最高的包

“大多数漏洞”磁贴显示组织中存在最多漏洞的依赖项，以及指向所有存储库中相关警报的链接。 这有助于快速确定哪些依赖项构成最大的风险。

## 存储库级指标

存储库细分表按存储库显示打开警报的摘要，包括：

* 每个存储库的警报总数
* 严重性分布（严重、高、中、低）
* 可利用性信息（例如 EPSS > 1%）

此表可以按每一列进行排序，帮助你确定哪些存储库处于最危险状态，并相应地确定修正工作的优先级。

## 延伸阅读

* [查看 Dependabot 警报的指标](/zh/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)
* [使用指标确定 Dependabot 警报的优先级](/zh/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)