Affichage des mesures pour les alertes Dependabot

Vous pouvez utiliser la vue d’ensemble de la sécurité pour voir combien de Dependabot alerts se trouvent dans les référentiels de votre organisation, afin de classer par ordre de priorité les alertes les plus critiques à résoudre et d’identifier les référentiels sur lesquels vous devrez peut-être intervenir.

Qui peut utiliser cette fonctionnalité ?

L’accès nécessite :

  • Vues de l’organisation : accès en écriture aux référentiels de l’organisation
  • Vues d’entreprise : propriétaires et responsables de la sécurité de l’organisation

Dans cet article

À propos des mesures pour Dependabot

La vue d’ensemble des mesures pour Dependabot fournit des informations précieuses aux développeurs et aux gestionnaires de sécurité des applications (AppSec). Les données de la page de tableau de bord Dependabot incluent un entonnoir de priorisation des vulnérabilités, qui facilite le classement, la correction et le suivi efficaces des vulnérabilités dans plusieurs référentiels. Cela garantit que les risques les plus critiques sont traités en priorité et que les améliorations apportées à la sécurité peuvent être mesurées au fil du temps.

Pour plus d’informations sur la manière dont les gestionnaires AppSec peuvent utiliser au mieux ces mesures pour optimiser la correction des alertes, consultez Classement des alertes Dependabot par ordre de priorité à l’aide de mesures.

Vous pouvez voir les mesures Dependabot si vous disposez de :

Les mesures disponibles combinent la gravité, l’exploitabilité et la disponibilité des correctifs, et vous aident de la manière suivante :

  • Classement des alertes par priorité : le graphique affiche le nombre de Dependabot alerts ouvertes. Vous pouvez utiliser des filtres, tels que la disponibilité des correctifs, la gravité ou le score EPSS, pour restreindre la liste des alertes à celles qui correspondent aux critères. Consultez Filtres de tableau de bord Dependabot.

  • Suivi des corrections : la vignette « Alertes fermées » affiche le nombre d’alertes corrigées avec Dependabot, rejetées manuellement et rejetées automatiquement, offrant ainsi une visibilité sur les performances et les tendances en matière de correction. La vignette indique également l’augmentation en pourcentage du nombre d’alertes fermées au cours des 30 derniers jours.

  • Package à risque le plus élevé : la vignette « Plus de vulnérabilités » affiche la dépendance qui présente le plus grand nombre de vulnérabilités dans l’organisation. La vignette fournit également un lien vers les alertes associées dans tous vos référentiels.

  • Décomposition au niveau des référentiels : le tableau présente une décomposition des alertes ouvertes par référentiel, avec le nombre d’alertes par niveau de gravité (critique, élevé, moyen, faible) et par exploitabilité (par exemple, EPSS > 1 %). Il peut être trié par chaque colonne. Cela vous permet d’identifier les projets les plus à risque, de classer par ordre de priorité les mesures correctives les plus importantes et de suivre les progrès réalisés au fil du temps de manière très détaillée.

Ces mesures aident les gestionnaires à évaluer l’efficacité de leur gestion des vulnérabilités et à garantir le respect des délais fixés par l’organisation ou la réglementation.

  • Contexte exploitable pour les développeurs : les développeurs peuvent utiliser les filtres de gravité et de disponibilité des correctifs pour identifier les vulnérabilités qu’ils peuvent corriger immédiatement, réduisant ainsi le bruit et concentrant leur attention sur les problèmes qu’ils peuvent traiter. Ces mesures les aident à comprendre le profil de risque de leurs dépendances, ce qui leur permet de classer les tâches par ordre de priorité en connaissance de cause.

Affichage des mesures pour Dependabot pour une organisation

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur tableau de bord Dependabot.

  4. Vous pouvez également utiliser les filtres à votre disposition ou créer vos propres filtres. Consultez Filtres de tableau de bord Dependabot.

  5. Vous pouvez également cliquer sur un chiffre de l’axe des x du graphique pour filtrer la liste des alertes selon les critères pertinents (par exemple has:patch severity:critical,high epss_percentage:>=0.01).

  6. Vous pouvez également cliquer sur un référentiel individuel pour afficher les Dependabot alerts associées.

Configuration des catégories d’entonnoir

L’ordre par défaut de l’entonnoir est has:patch, severity:critical,high, epss_percentage>=0.01. En adaptant l’ordre du tunnel, vous et vos équipes pouvez vous concentrer sur les vulnérabilités les plus importantes pour votre organisation, vos environnements ou vos obligations réglementaires, rendant ainsi les efforts de correction plus efficaces et mieux adaptés à vos besoins spécifiques.

  1. Sur GitHub, accédez à la page principale de l’organisation.

  2. Sous le nom de votre organisation, cliquez sur Sécurité.

    Capture d’écran de la barre de navigation horizontale d’une organisation. Un onglet, avec une icône de bouclier et le texte « Sécurité », est mis en évidence avec un encadré orange foncé.

  3. Dans la barre latérale, sous « Mesures », cliquez sur tableau de bord Dependabot.

  4. En haut à droite du graphique « Classement des alertes par ordre de priorité », cliquez sur .

  5. Dans la boîte de dialogue « Configurer l’ordre de l’entonnoir », déplacez les critères comme vous le souhaitez.

  6. Une fois que vous avez terminé, cliquez sur Déplacer pour enregistrer vos modifications.

Conseil

Vous pouvez réinitialiser l’ordre de l’entonnoir aux paramètres par défaut en cliquant sur Réinitialiser les paramètres par défaut à droite du graphique.