{"meta":{"title":"关于 Dependabot 警报的度量标准","intro":"使用指标在整个组织中跟踪 Dependabot alerts 并确定其优先级。","product":"安全性和代码质量","breadcrumbs":[{"href":"/zh/code-security","title":"安全性和代码质量"},{"href":"/zh/code-security/concepts","title":"Concepts"},{"href":"/zh/code-security/concepts/supply-chain-security","title":"供应链安全"},{"href":"/zh/code-security/concepts/supply-chain-security/about-metrics-for-dependabot-alerts","title":"Dependabot 警报指标"}],"documentType":"article"},"body":"# 关于 Dependabot 警报的度量标准\n\n使用指标在整个组织中跟踪 Dependabot alerts 并确定其优先级。\n\nDependabot alerts 的指标可帮助你了解组织依赖项的安全状况，并跟踪解决漏洞的进度。 可以使用这些指标确定修正工作的优先级，并专注于最关键的安全问题。\n\nDependabot alerts 的指标可以在组织的安全概述中查看。\n\n## 谁可以查看指标\n\n如果你拥有“谁可以使用此功能？”中提到的权限之一，则可以看到 Dependabot 指标 文章顶部的框。\n\n## 数据能够如何帮助你\n\n可用指标结合了严重性、可利用性和修补程序可用性，以帮助你：\n\n* **确定警报优先级**：关注最关键的漏洞，这些漏洞需要根据严重性、可利用性分数和修补程序可用性立即引起注意。\n* **跟踪修正进度**：监视组织解决漏洞的速度并识别随时间推移的趋势。\n* **确定高风险依赖项**：快速发现在存储库中构成最大安全风险的包。\n* **做出数据驱动的决策**：通过了解哪些存储库和漏洞最需要关注来有效地分配资源。\n\n这些指标有助于应用程序安全经理衡量其漏洞管理程序的有效性，开发人员可确定可以立即修复的漏洞。\n\n## 警报优先级\n\n指标仪表板显示**打开的 % data variables.product.prodname\\_dependabot\\_alerts %}** 的数量。 可以使用筛选器（例如补丁、严重性和 EPSS 分数）将警报列表缩小到匹配特定条件的警报。 请参阅 [Dependabot 仪表板视图筛选器](/zh/code-security/security-overview/filtering-alerts-in-security-overview#dependabot-dashboard-view-filters)。\n\n要详细了解 AppSec 经理如何充分使用这些指标来优化警报修复，请参阅 [使用指标确定 Dependabot 警报的优先级](/zh/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)。\n\n优先级的关键指标包括：\n\n* **严重性**：漏洞的影响级别（严重、高、中或低）\n* **利用性**：在实践中如何轻松利用漏洞，包括 EPSS 分数\n* **依赖关系**：易受攻击的依赖项是直接的还是可传递的（间接的）\n* **依赖项范围**：漏洞是否影响运行时依赖项、开发依赖项或两者\n* **实际用法**：是否在应用程序中实际使用易受攻击的代码\n* **修补程序可用性**：修补程序是否可用于漏洞\n\n## 警报解决跟踪\n\n可以监控组织如何随着时间的推移如何解决 Dependabot alerts。 警报解析指标显示警报数：\n\n* 由Dependabot修复\n* 手动消除\n* 自动消除\n\n此磁贴还显示过去 30 天内关闭警报数量的百分比增加情况，从而让你了解修正性能，并帮助识别漏洞修正的趋势。\n\n## 风险最高的包\n\n“大多数漏洞”磁贴显示组织中存在最多漏洞的依赖项，以及指向所有存储库中相关警报的链接。 这有助于快速确定哪些依赖项构成最大的风险。\n\n## 存储库级指标\n\n存储库细分表按存储库显示打开警报的摘要，包括：\n\n* 每个存储库的警报总数\n* 严重性分布（严重、高、中、低）\n* 可利用性信息（例如 EPSS > 1%）\n\n此表可以按每一列进行排序，帮助你确定哪些存储库处于最危险状态，并相应地确定修正工作的优先级。\n\n## 延伸阅读\n\n* [查看 Dependabot 警报的指标](/zh/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)\n* [使用指标确定 Dependabot 警报的优先级](/zh/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)"}