# 关于 Dependabot 警报的度量标准

使用指标在整个组织中跟踪 Dependabot alerts 并确定其优先级。

Dependabot alerts 的指标可帮助你了解组织依赖项的安全状况，并跟踪解决漏洞的进度。 可以使用这些指标确定修正工作的优先级，并专注于最关键的安全问题。

Dependabot alerts 的指标可以在组织的安全概述中查看。

## 谁可以查看指标

如果你拥有“谁可以使用此功能？”中提到的权限之一，则可以看到 Dependabot 指标 文章顶部的框。

## 数据能够如何帮助你

可用指标结合了严重性、可利用性和修补程序可用性，以帮助你：

* **确定警报优先级**：关注最关键的漏洞，这些漏洞需要根据严重性、可利用性分数和修补程序可用性立即引起注意。
* **跟踪修正进度**：监视组织解决漏洞的速度并识别随时间推移的趋势。
* **确定高风险依赖项**：快速发现在存储库中构成最大安全风险的包。
* **做出数据驱动的决策**：通过了解哪些存储库和漏洞最需要关注来有效地分配资源。

这些指标有助于应用程序安全经理衡量其漏洞管理程序的有效性，开发人员可确定可以立即修复的漏洞。

## 警报优先级

指标仪表板显示**打开的 % data variables.product.prodname\_dependabot\_alerts %}** 的数量。 可以使用筛选器（例如补丁、严重性和 EPSS 分数）将警报列表缩小到匹配特定条件的警报。 请参阅 [Dependabot 仪表板视图筛选器](/zh/code-security/security-overview/filtering-alerts-in-security-overview#dependabot-dashboard-view-filters)。

要详细了解 AppSec 经理如何充分使用这些指标来优化警报修复，请参阅 [使用指标确定 Dependabot 警报的优先级](/zh/code-security/securing-your-organization/understanding-your-organizations-exposure-to-vulnerabilities/prioritizing-dependabot-alerts-using-metrics)。

优先级的关键指标包括：

* **严重性**：漏洞的影响级别（严重、高、中或低）
* **利用性**：在实践中如何轻松利用漏洞，包括 EPSS 分数
* **依赖关系**：易受攻击的依赖项是直接的还是可传递的（间接的）
* **依赖项范围**：漏洞是否影响运行时依赖项、开发依赖项或两者
* **实际用法**：是否在应用程序中实际使用易受攻击的代码
* **修补程序可用性**：修补程序是否可用于漏洞

## 警报解决跟踪

可以监控组织如何随着时间的推移如何解决 Dependabot alerts。 警报解析指标显示警报数：

* 由Dependabot修复
* 手动消除
* 自动消除

此磁贴还显示过去 30 天内关闭警报数量的百分比增加情况，从而让你了解修正性能，并帮助识别漏洞修正的趋势。

## 风险最高的包

“大多数漏洞”磁贴显示组织中存在最多漏洞的依赖项，以及指向所有存储库中相关警报的链接。 这有助于快速确定哪些依赖项构成最大的风险。

## 存储库级指标

存储库细分表按存储库显示打开警报的摘要，包括：

* 每个存储库的警报总数
* 严重性分布（严重、高、中、低）
* 可利用性信息（例如 EPSS > 1%）

此表可以按每一列进行排序，帮助你确定哪些存储库处于最危险状态，并相应地确定修正工作的优先级。

## 延伸阅读

* [查看 Dependabot 警报的指标](/zh/code-security/how-tos/view-and-interpret-data/analyze-organization-data/viewing-metrics-for-dependabot-alerts)
* [使用指标确定 Dependabot 警报的优先级](/zh/code-security/tutorials/manage-security-alerts/prioritizing-dependabot-alerts-using-metrics)