Dependabot アラートのメトリックの表示

セキュリティの概要を使用すると、organization 全体のリポジトリ内にある Dependabot alerts の数を確認し、最も重要なアラートを優先して修正し、対処が必要なリポジトリを明らかにできます。

この機能を使用できるユーザーについて

アクセスには以下が必要です。

GitHub Code Security を使用する GitHub Team アカウントによって所有されている organization、または GitHub Code Security を使用する GitHub Enterprise アカウントによって所有されている organization

この記事で

組織全体の脆弱性を追跡し、優先順位を付けるために、Dependabot alerts のメトリクスを表示できます。 使用可能なメトリックとその使用方法の詳細については、 Dependabot アラートのメトリックについて を参照してください。

この記事では、組織のこれらのメトリックにアクセスして表示する方法について説明します。

Organization での Dependabot のメトリックの表示

  1. GitHub で、organization のメイン ページに移動します。
  2. 組織名の下の [ Security ] タブをクリックします。
  3. サイドバーの [メトリック] で、[ Dependabot ダッシュボード] をクリックします。
  4. 必要に応じて、自由にフィルターを使うか、独自のフィルターを作成します。 Dependabot ダッシュボード ビューのフィルターに関する記事をご覧ください。
  5. 必要に応じて、グラフの x 軸の数値をクリックして、関連する条件 (has:patch severity:critical,high epss_percentage:>=0.01 など) でアラート一覧をフィルター処理します。
  6. 必要に応じて、個々のリポジトリをクリックして、関連付けられた Dependabot alerts を表示します。

ファネルカテゴリの構成

フィルターの既定の順序は has:patch, severity:critical,high, epss_percentage>=0.01 です。 ファネルの順序を調整することで、ご自身の組織、環境、または規制の義務にとって最も重要な脆弱性にフォーカスし、修復作業をより効果的にし、特定のニーズと一致させることができます。

  1. GitHub で、organization のメイン ページに移動します。
  2. 組織名の下の [ Security ] タブをクリックします。
  3. サイドバーの [メトリック] で、[ Dependabot ダッシュボード] をクリックします。
  4. [アラートの優先順位] の右上で、[] をクリックします。
  5. [Configure funnel order] ダイアログで、必要に応じて条件を移動します。
  6. 終えたら、[Move] をクリックして変更を保存します。

ヒント

グラフの右側にある [Reset to default] をクリックすると、フィルターの順序を既定の設定に戻すことができます。

メトリックを効果的に使用する

Dependabot メトリックを使用して、次を行います。

  •         **修復に優先順位を付ける**: 悪用しやすい重大および重大度の高いアラートに重点を置く。 開発者は、重大度フィルターとパッチ可用性フィルターを使用して、すぐに修正できる脆弱性を特定し、ノイズを減らし、対処可能な問題に注意を向けることができます。

  •         **進行状況の監視**: 組織がセキュリティの脆弱性を解決する速度を追跡し、脆弱性管理作業の有効性を測定します。

  •         **データドリブンの決定を行う**: 実際のリスクと使用パターンに基づいてリソースを割り当てます。 リポジトリ レベルの内訳は、最もリスクが高いプロジェクトと、修復作業に集中する場所を理解するのに役立ちます。

  •         **傾向を特定**する: セキュリティ体制が時間の経過と共に改善されているかどうかを理解し、組織または規制のタイムラインに確実に準拠します。

  •         **リスク プロファイルを理解**する: 開発者はこれらのメトリックを使用して依存関係のリスク プロファイルを理解し、情報に基づいた作業の優先順位付けを可能にします。