Métriques de tableau de bord
Dans la vue d’ensemble de la sécurité, le tableau de bord vue d’ensemble affiche les métriques d’alerte de sécurité pour votre organisation ou votre entreprise. Vous pouvez utiliser le tableau de bord pour surveiller l’intégrité de votre programme de sécurité des applications, collaborer avec des équipes d’ingénieurs et collecter des données à des fins d’évaluation.
Le tableau de bord affiche les données de tendance qui effectuent le suivi du nombre d’alertes et de l’activité au fil du temps, ainsi que des données d’instantané qui reflètent l’état actuel. Toutes les données et métriques dans le tableau de bord changent à mesure que vous appliquez des filtres. Par défaut, le tableau de bord affiche toutes les alertes à partir d’outilsGitHub, mais vous pouvez utiliser le filtre d’outils pour afficher les alertes d’un outil spécifique (secret scanning, Dependabotcode scanning à l’aide CodeQLd’un outil tiers spécifique) ou tous les outils tierscode scanning. Consultez « Filtrage des alertes dans la vue d’ensemble de la sécurité ».
Les indicateurs de tendance indiquent une modification du pourcentage par rapport à la période précédente. Par exemple:
- 10 alertes cette semaine et 20 alertes la semaine dernière = 50% baisse
- Âge moyen de l’alerte de 15 jours par rapport à 5 jours = 200% augmentation
Filtrage de gravité des alertes : Le tableau de bord inclut uniquement des alertes avec des niveaux de gravité de sécurité : Critical, , Highou Medium``Low. Les alertes non liées à la sécurité (Errorou Warning``Note) sont exclues. Cela peut entraîner une différence entre le compte du tableau de bord et le total des alertes code scanning. Pour plus d’informations, consultez « Alertes d’analyse du code ».
Limitations
Les données qui remplissent la page de vue d’ensemble peuvent changer et changeront au fil du temps en raison de différents facteurs, tels que la suppression du référentiel ou les modifications apportées à un avis de sécurité. Cela signifie que les métriques de vue d’ensemble pour la même période peuvent varier si elles sont consultées à deux reprises. Pour les rapports de conformité ou d’autres scénarios où la cohérence des données est cruciale, nous vous recommandons de sourcer des données à partir du journal d’audit. Consultez « Audit des alertes de sécurité ».
La page vue d’ensemble suit la façon dont les alertes de sécurité ont changé au fil du temps. Toutefois, lorsque vous filtrez par un autre attribut, tel que l’état du dépôt, il utilise la valeur actuelle de cet attribut, et non sa valeur historique.
Par exemple, l’archivage d’un référentiel ferme toutes les alertes ouvertes qu’il contient. Si vous affichez la page vue d’ensemble pendant une semaine avant d’archiver le référentiel :
- Les données du référentiel s’affichent uniquement si vous filtrez pour afficher les référentiels archivés, car il s’agit de l’état actuel du référentiel.
- Les alertes s’affichent toujours comme ouvertes, car elles reflètent leur état à ce stade dans le temps.
Structure du tableau de bord
Le tableau de bord est divisé en trois onglets, chacun axé autour d’un objectif de sécurité différent :
- Détection: Affiche les métriques relatives à l’état et à l’âge des alertes dans votre organisation, les secrets qui ont été bloqués ou ignorés, ainsi que les principaux référentiels et vulnérabilités qui présentent le risque de sécurité potentiel le plus élevé.
- Assainissement: Affiche des métriques sur la façon dont les alertes sont résolues et l’activité des alertes au fil du temps.
- Prévention: Affiche les métriques sur la façon dont les vulnérabilités ont été évitées et corrigées dans les demandes de tirage.
Remarque
Contrairement aux onglets Détection et Remédiation, qui signalent des alertes sur la branche par défaut, l’onglet Prévention vous donne des informations sur les alertes CodeQL détectées dans les pull requests fusionnées.
Métriques de détection
Suivez l’état actuel des alertes de sécurité dans votre organisation.
Ouvrir des alertes au fil du temps
Affiche la modification du nombre d’alertes ouvertes au cours de la période que vous avez choisie. Par défaut, les alertes sont regroupées par gravité. Vous pouvez modifier la façon dont les alertes sont regroupées.
- Les nouvelles alertes sont représentées à leur date de création.
- Les alertes qui existaient avant la période choisie sont représentées au début de la période.
- Une fois qu’une alerte est corrigée ou ignorée, elle n’est pas incluse dans le graphique. À la place, l’alerte est déplacée vers le graphique des alertes fermées.
Âge des alertes
Âge moyen de toutes les alertes qui sont toujours ouvertes à la fin de la période choisie.
Formule: L’âge de chaque alerte ouverte est calculé en soustrayant la date à laquelle l’alerte a été créée à partir de la date à laquelle la période choisie se termine, puis en moyenne sur toutes les alertes ouvertes.
Remarque
Pour les alertes rouvertes, l’âge est calculé en soustrayant la date de création d’origine plutôt que la date à laquelle l’alerte a été rouverte.
Alertes réouvertes
Nombre total d’alertes ouvertes qui ont été rouvertes pendant la période choisie. Seules les alertes ouvertes à la fin de la période de rapport sont signalées. Cela inclut les éléments suivants :
- Les alertes qui ont été fermées avant la période choisie et restent ouvertes à la fin de la période.
- Alertes nouvellement créées qui ont été fermées, puis rouvertes pendant la période choisie.
- Alertes qui ont été ouvertes au début de la période choisie, mais fermées, puis rouvertes au cours de la même période.
Secrets ignorés ou bloqués
Affiche le ratio des secrets ignorés par rapport au nombre total de secrets bloqués par la protection Push.
- Contourné: Détection de secrets qui ont été validés de toute façon.
- Blocages réussis : Nombre total de blocages moins ceux contournés. Un secret est considéré comme bloqué avec succès lorsqu’il a été corrigé et n’a pas fait l’objet d’un commit dans le dépôt.
Cliquez sur Afficher les détails pour afficher le secret scanning rapport avec les mêmes filtres et la même période sélectionnée.
Pour plus d’informations sur les secret scanning métriques de la protection contre les pushs, consultez Affichage des métriques pour la protection des notifications push secret scanning.
Tableau d’analyse d’impact
Le tableau d'analyse d'impact comporte des onglets distincts présentant les données pour : « Dépôts », « Avis » et « Vulnérabilités SAST ».
- Onglet Référentiels : Affiche les 10 premiers référentiels avec les alertes les plus ouvertes à la fin de la période choisie, classés par nombre total d’alertes ouvertes. Pour chaque référentiel, le nombre total d’alertes ouvertes s’affiche en même temps qu’une répartition par gravité.
- Onglet Avis : Affiche les 10 avis CVE qui ont déclenché le plus Dependabot d’alertes à la fin de la période choisie, classés par nombre total d’alertes ouvertes. Pour chaque référentiel, le nombre total d’alertes ouvertes s’affiche en même temps qu’une répartition par gravité.
- Onglet Vulnérabilités SAST : Affiche les 10 vulnérabilités SAST (Static Application Security Testing) qui ont déclenché la plupart code scanning des alertes, classées par nombre total d’alertes ouvertes. Pour chaque vulnérabilité, le nombre total d'alertes ouvertes est indiqué avec une note de gravité.
Métriques de correction
Suivez la rapidité et l'efficacité avec lesquelles les alertes sont résolues.
Evolution des alertes fermées au fil du temps
Affiche la modification du nombre d’alertes fermées au cours de la période que vous avez choisie. Par défaut, les alertes sont regroupées par gravité. Vous pouvez modifier la façon dont les alertes sont regroupées. Les alertes fermées incluent les alertes de sécurité qui ont été correctement corrigées ou ignorées avant ou pendant la période choisie.
- Les alertes fermées pendant la période sont représentées sur le graphique à leur date de fermeture.
- Les alertes corrigées ou ignorées avant la période choisie sont représentées au début de la période.
Temps moyen de correction
Âge moyen de toutes les alertes qui ont été corrigées ou ignorées pendant la période choisie. Les alertes qui ont été fermées en tant que « faux positif » sont exclues.
Formule : L’âge de chaque alerte fermée est calculé en soustrayant la date à laquelle l’alerte a été créée à partir de la date à laquelle l’alerte a été fermée pour la dernière fois pendant la période choisie, puis en moyenne sur toutes les alertes fermées.
Remarque
Pour les alertes rouvertes, l’âge est calculé en soustrayant la date de création d’origine plutôt que la date à laquelle l’alerte a été rouverte.
Taux de résolution net
Taux de fermeture des alertes. Cette métrique est similaire à la mesure de la « vitesse du développeur », reflétant la vitesse et l’efficacité avec lesquelles les alertes sont résolues.
Formule: Nombre d’alertes qui ont été fermées et conservées pendant la période choisie ÷ Nombre d’alertes créées pendant la période
Remarque
Le taux de résolution net prend en compte toutes les alertes nouvelles et fermées pendant la période choisie. Cela signifie que l’ensemble de nouvelles alertes et l’ensemble d’alertes fermées utilisés pour le calcul ne correspondent pas nécessairement, car ils peuvent représenter différentes populations d’alertes.
Exclus: Les alertes qui sont rouvertes et fermées à nouveau pendant la période choisie sont ignorées.
Graphique d’activité d’alerte
Affiche les flux d’alerte et les flux sortants au cours de la période choisie.
- Barres vertes : Nombre de nouvelles alertes créées pendant la période segmentée
- Barres violettes : Nombre d’alertes fermées pendant la période segmentée
- Ligne en pointillé bleu : Activité d’alerte net (différence entre les alertes nouvelles et fermées)
Mesures de prévention
Suivez les vulnérabilités détectées et corrigées avant d’atteindre la production.
Introduits par rapport à ceux évités
Affiche le nombre cumulé de vulnérabilités interceptées dans le flux de travail du développeur par rapport aux vulnérabilités introduites au cours de la période que vous avez choisie.
- Évitées : Nombre d’alertes de pull request détectées par CodeQL qui ont été corrigées pour les pull requests fusionnées. Les dates sont calculées à partir de la date de correction.
- Introduites : Nombre de nouvelles alertes de pull request détectées par CodeQL et classées comme « Risque accepté » ou non résolues au moment de la fusion de la pull request. Les dates sont basées sur la date de création.
Vulnérabilités corrigées dans les pull requests
Nombre d’alertes de demande de tirage détectées par CodeQL ou secret scanning avec une raison proche de « Fixe » liée à une demande de tirage fusionnée.
Alertes de pull request corrigées avec des suggestions Copilot correction automatique
Affiche le rapport entre les suggestions acceptées Copilot correction automatique et le nombre total de suggestions Copilot correction automatique dans les alertes sur les demandes de tirage détectées par code scanning.
Copilot correction automatique pour code scanning fournit des recommandations ciblées pour vous aider à corriger les alertes code scanning Consultez « Carte de l’application : fonctionnalités d’IA GitHub pour la sécurité et la qualité ».