Dependabot 경고의 메트릭 보기

보안 개요를 사용하면 조직 전체의 리포지토리에 Dependabot alerts가 얼마나 있는지 확인하고, 가장 중요한 경고의 우선 순위를 정하고, 조치를 취해야 할 리포지토리를 식별할 수 있습니다.

누가 이 기능을 사용할 수 있나요?

액세스에�� 다음이 필요합니다.

조직 보기: 조직의 리포지토리에 대한 쓰기 액세스 권한
엔터프라이즈 보기: 조직 소유자 및 보안 관리자

GitHub Team 계정이 GitHub Code Security를 소유하거나 GitHub Enterprise 계정이 소유한 조직

이 문서의 내용

Dependabot의 메트릭 정보

Dependabot의 메트릭 개요는 개발��와 AppSec(애플리케이션 보안) 관리자 모두에게 유용한 인사이트를 제공합니다. Dependabot 대시보드 페이지의 데이터에는 여러 리포지토리에 걸쳐 취약성의 우선 순위를 효율적으로 지정하고, 수정하고, 추적하는 데 도움이 되는 취약성 우선 순위 지정 퍼널이 포함되어 있습니다. 이렇게 하면 가장 중요한 위험이 먼저 해결되고 시간이 지남에 따라 보안 향상을 측정할 수 있습니다.

AppSec 관리자가 이러한 메트릭을 가장 잘 사용하여 경고 수정을 최적화하는 방법에 대한 자세한 내용은 메트릭을 사용하여 Dependabot 경고 우선 순위 지정을(를) 참조하세요.

다음 항목이 있는 경우 Dependabot 메트릭을 볼 수 있습니다.

리포지토리에 대한 admin 역할.
리포지토리의 "Dependabot alerts 보기"라는 세분화된 사용 권한이 있는 사용자 지정 리포지토리 역할입니다. 자세한 내용은 사용자 지정 리포지토리 역할 정보을(를) 참조하세요.
리포지토리에 대한 경고에 액세스합니다. 자세한 내용은 리포지토리에 대한 보안 및 분석 설정 관리을(를) 참조하세요.

사용 가능한 메트릭은 심각도, 악용 가능성, 패치 가용성을 결합하며 다음과 같은 방법으로 도움을 줍니다.

경고 우선순위: 해당 차트는 미해결된 Dependabot alerts 의 수를 보여 줍니다. 패치 가용성, 심각도, EPSS 점수와 같은 필터를 사용하여 조건과 일치하는 경고 목록만 선택할 수 있습니다. Dependabot 대시보드 보기 필터를 참조하세요.
수정 추적: "Alerts closed" 타일은 Dependabot을 통해 수정된 경고, 수동으로 해제된 경고, 자동으로 해제된 경고의 수를 표시하여 수정 성과와 추세에 대한 가시성을 제공합니다. 또한 이 타일은 지난 30일 동안 해결된 경고 수의 증가율도 보여 줍니다.
가장 위험도가 높은 패키지: "Most vulnerabilities" 타일은 조직에서 가장 많은 취약성이 있는 종속성을 보여 줍니다. 해당 타일은 모든 리포지토리의 관련 경고로 연결되는 링크도 함께 제공합니다.
리포지토리 수준 분석: 이 표는 심각도(심각, 높음, 중간, 낮음) 및 악용 가능성(예: EPSS > 1%)을 포함하여 리포지토리별 미해결된 경고의 분석을 보여 줍니다. 각 열을 기준으로 정렬할 수 있습니다. 이렇게 하면 가장 위험한 프로젝트를 식별하고, 가장 중요한 수정 작업의 우선 순위를 지정하고, 시간의 흐름에 따른 진행 상황을 세분화된 수준에서 추적할 수 있습니다.

이러한 메트릭은 관리자가 취약성 관리의 효과를 측정하고 조직 또는 규정 타임라인을 준수하는지 확인하는 데 도움이 됩니다.

개발자를 위한 실행 가능한 컨텍스트: 개발자는 심각도 및 패치 가용성 필터를 사용하여 즉시 수정할 수 있는 취약성을 식별하고, 불필요한 정보를 줄이고, 해결 가능한 문제에 주의를 집중할 수 있습니다. 이러한 메트릭은 종속성의 위험 프로필을 이해하는 데 도움이 되며, 정보에 입각한 작업 우선 순위를 지정할 수 있도록 합니다.

조직의 Dependabot에 대한 메트릭 보기

GitHub에서 조직의 기본 페이지로 이동합니다.
조직 이름에서 보안을 클릭합니다.
사이드바의 "Metrics" 아래에서 Dependabot dashboard를 클릭합니다.
필요에 따라, 원하는 경우 필터를 사용하거나 자신만의 고유한 필터를 만들 수도 있습니다. Dependabot 대시보드 보기 필터를 참조하세요.
선택적으로, 차트의 x축에 있는 숫자를 클릭하여 관련 조건(예: has:patch severity:critical,high epss_percentage:>=0.01)에 따라 경고 목록을 필터링합니다.
필요에 따라, 개별 리포지토리를 클릭하여 연결된 Dependabot alerts를 확인합니다.

퍼널 범주 구성

기본 퍼널 순서는 has:patch, severity:critical,high, epss_percentage>=0.01입니다. 퍼널 순서를 맞춤화하면 사용자와 사용자의 팀은 조직, 환경, 규정 의무에 가장 중요한 취약성에 집중할 수 있으며, 이를 통해 수정 작업을 보다 효과적이고 ��정 요구 사항에 맞게 수행할 수 있습니다.

GitHub에서 조직의 기본 페이지로 이동합니다.
조직 이름에서 보안을 클릭합니다.
사이드바의 "Metrics" 아래에서 Dependabot dashboard를 클릭합니다.
"Alert prioritization" 그래프의 오른쪽 위에서 를 클릭합니다.
"Configure funnel order" 대화 상자에서 원하는 대로 조건을 이동합니다.
완료되면 Move를 클릭하여 변경 내용을 저장합니다.

팁

그래프 오른쪽의 기본값으로 Reset to default를 클릭하여 퍼널 순서를 기본 설정으로 다시 설정할 수 있습니다.