Metriken des Sicherheitsübersichts-Dashboards

Detaillierte Erläuterungen zu Metriken, Berechnungen und Datenvisualisierungen auf der Übersichtsseite Ihrer Sicherheitsübersicht.

In diesem Artikel

Dashboard-Metriken

Das Dashboard der Sicherheitsübersicht zeigt Kennzahlen für Sicherheitswarnungen für Ihre Organisation oder Unternehmen.

          **Trendindikatoren** zeigen prozentuale Veränderung im Vergleich zum vorherigen Zeitraum an. Beispiel:

  • 10 Warnungen in dieser Woche im Vergleich zu 20 Warnungen letzte Woche = 50% verringern

  • Durchschnittliches Benachrichtigungsalter von 15 Tagen und 5 Tagen = 200% Erhöhung

            **Filterung des Warnungsschweregrads:** Das Dashboard enthält nur Warnungen mit Sicherheitsschweregradstufen: `Critical`, , `High`, , `Medium`oder `Low`. Nicht sicherheitsrelevante Warnungen (`Error`, `Warning`oder `Note`) werden ausgeschlossen. Dies kann dazu führen, dass sich die Anzahl auf dem Dashboard von der Gesamtzahl der code scanning-Warnungen unterscheidet. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/about-code-scanning-alerts#about-alert-severity-and-security-severity-levels).

Dashboardstruktur

Die Registerkarte " Erkennung " enthält Informationen zu:

  • Benachrichtigungsstatus und Alter
  • Geheime Schlüssel blockiert oder umgangen
  • Hochrisiko-Repositorien und Sicherheitslücken

Die Registerkarte " Korrektur " enthält Informationen zu:

  • Wie Warnungen aufgelöst werden
  • Warnungsaktivität im Laufe der Zeit

Die Registerkarte "Verhinderung " enthält Informationen zu:

  • Sicherheitsanfälligkeiten, die bei Pullanforderungen verhindert und behoben wurden
  • CodeQL Warnungen in zusammengeführten Pullanforderungen (nicht in der Standardverzweigung)

Erkennungsmetriken

Verfolgen Sie den aktuellen Status von Sicherheitswarnungen.

Offene Warnungen im Zeitverlauf

Zeigt

          **Included**

  • Neue Warnungen (werden am Erstellungsdatum angezeigt)

  • Vorhandene offene Warnungen (zu Beginn des Zeitraums angezeigt)

            **Ausgeschlossen**

  • Korrigierte oder verworfene Warnungen

            **Standardgruppierung:** Warnungsschweregrad

Alter der Warnmeldungen

Durchschnittliches Alter der Warnungen, die am Ende des Zeitraums noch offen sind.

          **Formel:** Durchschnitt (Enddatum des Zeitraums – Erstellungsdatum der Warnung) über alle offenen Warnungen

          **Hinweis:** Erneut geöffnete Warnungen verwenden das ursprüngliche Erstellungsdatum, nicht das Datum des erneuten Öffnens

Erneut geöffnete Warnungen

Gesamtzahl der offenen Warnmeldungen, die während des Zeitraums erneut geöffnet wurden.

          **Wird gezählt, wenn:**

  • Geschlossen vor dem Zeitraum und noch offen am Ende der Periode

  • Erstellt, geschlossen und während desselben Zeitraums wieder geöffnet

  • Geöffnet zu Beginn, geschlossen und dann während des Zeitraums erneut geöffnet

            **Anforderung:** Muss am Ende des Berichtszeitraums geöffnet sein.

Geheimnisse umgangen oder blockiert

Das Verhältnis von umgangenen Geheimnissen zu den durch Pushschutz blockierten Gesamtengeheimnissen.

          **Metriken**

* Umgangen: Erkannte Geheimnisse, die trotzdem gespeichert wurden * Erfolgreich blockiert: Gesamtanzahl blockiert abzüglich umgangener Anfragen

          **Details anzeigen:** Klicken Sie hier, um den Bericht secret scanning mit übereinstimmenden Filtern anzuzeigen.

Weitere Informationen findest du unter Anzeigen von Metriken für den Pushschutz bei der Geheimnisüberprüfung.

Auswirkungsanalysetabelle

Zeigt Repositorys und Sicherheitsrisiken mit dem höchsten Sicherheitsrisiko an.

          **Registerkarte "Repositories"**

  • Top 10 Repositories nach der Anzahl der offenen Warnungen

  • Gesamtübersicht über Warnungen und Schweregrad

            **Registerkarte "Empfehlungen"**

  • Top 10 CVE-Empfehlungen nach Warnungsanzahl

  • Dependabot nur Warnungen

            **Registerkarte "SAST-Sicherheitsrisiken"**

  • Top 10 SAST-Sicherheitsrisiken (Static Application Security Testing, SAST)

  • nur Dependabot alerts

Korrekturmetriken

Verfolgen Sie, wie schnell und effektiv Warnungen aufgelöst werden.

Geschlossene Warnungen im Zeitverlauf

Diagramm mit der Anzahl geschlossener Warnungen im Laufe der Zeit.

          **Included**

  • Benachrichtigungen, die während des Zeitraums geschlossen wurden (am Abschlussdatum angezeigt)

  • Warnungen, die vor dem Zeitraum geschlossen wurden (angezeigt am Anfang des Zeitraums)

            **Standardgruppierung:** Warnungsschweregrad

Durchschnittliche Korrekturzeit

Das durchschnittliche Alter von Alarmen, die während des Zeitraums behoben oder abgewiesen wurden.

          **Formel:** (Schließdatum der Warnung - Erstellungsdatum der Warnung) gemittelt über alle geschlossenen Warnungen

          **Ausgeschlossen:** Warnungen, die als "Fehlalarm" geschlossen wurden.

Hinweis

Erneut geöffnete Warnungen verwenden das ursprüngliche Erstellungsdatum, nicht das Datum des erneuten Öffnens.

Netto-Auflösungsrate

Rate, mit der Warnungen geschlossen werden (misst die Auflösungsgeschwindigkeit).

          **Formel:** Geschlossene Warnungen (die geschlossen bleiben) ÷ Neue Warnungen erstellt

          **Wichtig:** Verwendet alle neuen und geschlossenen Alarme im Zeitraum. Dies könnten unterschiedliche Warnpopulationen sein.

          **Ausgeschlossen:** Warnungen, die während des Zeitraums erneut geöffnet und wieder geschlossen wurden.

Diagramm der Warnungsaktivität

Zeigt Warnungseingänge und -ausgänge über die Zeit an.

          **Visueller Schlüssel**

* Grüne Balken: Neue Warnungen erstellt * Lila Balken: Warnungen geschlossen * Blaue Linie: Nettoaktivität (neue minus geschlossene)

Präventionsmetriken

Verfolgen Sie Schwachstellen, die abgefangen und behoben wurden, bevor sie in die Produktion gelangen.

          **Datenquelle:** CodeQL Warnungen in zusammengeführten Pull Requests (nicht im Standardbranch)

Eingebracht versus verhindert

Kumulative Schwachstellen, die entdeckt versus eingeführt wurden.

          **Verhindert**

  • Bereits vor dem Merge behobene Pull-Request-Benachrichtigungen

  • Erkannt durch CodeQL

  • Datumsangaben basierend auf dem Fixdatum

            **Eingeführt**

  • Benachrichtigungen zu neuen Pull-Anforderungen, die beim Zusammenführen entweder als „Risiko akzeptiert“ markiert oder nicht aufgelöst wurden

  • Erkannt von CodeQL

  • Datumsangaben basierend auf erstellungsdatum

In Pull Requests behobene Sicherheitsrisiken

Anzahl der Pull-Anforderungsbenachrichtigungen mit nahem Grund "Behoben" in zusammengeführten Pullanforderungen.

          **Warnungstypen:** CodeQL oder secret scanning

Pull-Request-Warnungen behoben mit Copilot Autofix-Vorschläge

Verhältnis von akzeptierten Copilot Autofix Vorschlägen zu gesamten Vorschlägen bei Pull-Request-Benachrichtigungen.

          **Copilot Autofix** empfiehlt gezielte Korrekturen für code scanning Alarme. Weitere Informationen findest du unter [AUTOTITLE](/code-security/code-scanning/managing-code-scanning-alerts/responsible-use-autofix-code-scanning).