数据驱动的应用安全建设实践
2024-12-2 21:45:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

  • 可见性很重要(你无法保护看不见的资产)
  • 最佳实践不是银弹(适合自己的才是最好的)
  • 叙事和有效的数据支持是项目成功的关键(Web3 讲叙事,Web2 也一样。)
  • 应用安全建设的指标要转化为业务价值(合规是应用安全建设的商业价值体现,但不是终点。)
  • 合法合规是底线,端到端的打穿是推进项目落地的有效抓手(比叙事更直接的是秀肌肉。)
  • LLM 会重塑应用安全范式(唯一不变的是变化)
类别指标概述示例
风险收敛指标严重漏洞数量跟踪一段时间内的严重漏洞数量,趋势下降表明高风险威胁减少。每月严重漏洞数量从 20 减少到 5。

漏洞修复率测量在指定时间段内修复漏洞的速率,例如每月修复率。每月发现 120 个漏洞,修复 90 个,修复率为 75%。

高风险应用百分比衡量对业务功能敏感或关键的应用的百分比,优先处理高风险应用的威胁。公司有 50 个关键应用,其中 30 个被评估为高风险,高风险占比 60%。

安全债务跟踪随时间积累的未解决安全问题,时间越长风险越大。(存量漏洞)一年来未解决的漏洞从 500 减少到 200。
业务团队覆盖率和参与度安全测试覆盖的应用百分比跟踪已经过安全评审的应用比例,比例越高,覆盖潜在差距越少。所有 100 个应用中,80 个经过安全测试,覆盖率为 80%。

研发人员安全培训完成率衡量有多少开发人员完成安全培训,提升安全编码实践能力。500 名开发人员中,350 名完成了安全编码培训课程,完成率为 70%。

每个应用的安全检测结果跟踪每个应用识别的漏洞数量,高值可能表示测试彻底,也可能表明编码实践需改进。(具体问题具体分析)某应用在测试中发现了 15 个漏洞,而类似项目的平均值为 8。

平均安全参与时间(MTSI)衡量安全团队在开发生命周期中参与的时间,越早越能提前解决问题。安全团队平均在 Sprint 1(需求阶段)介入,而不是以往的 Sprint 3(开发后期)。
应用安全态势未修复漏洞数量跟踪未修复漏洞的数量,趋势线向下表明漏洞逐渐减少。未修复漏洞数量从 Q1 的 300 降至 Q4 的 120。

漏洞重现率衡量相同漏洞在应用中再次出现的频率,高重现率表明需改进安全实践或测试流程。某种类型的 SQL 注入漏洞在半年内重现了 5 次。

没有已知漏洞的应用百分比反映组织避免漏洞的能力,高比例更好,但不排除未知威胁存在。公司有 100 个应用,其中 85 个没有已知漏洞,占比 85%。

安全漏洞修复速率衡量应用安全漏洞的修复速度,速率高表明组织主动解决漏洞。高危漏洞的安全漏洞平均在 5 天内完成修复,而行业标准为 14 天。
漏洞管理效率平均检测时间(MTTD)测量检测漏洞所需的平均时间,时间越短说明方法越高效。从漏洞出现到检测的时间从平均 30 天减少到 10 天。

平均修复时间(MTTR)测量修复漏洞所需的平均时间,时间越短说明管理流程更高效。修复一个漏洞的平均时间从 45 天减少到 15 天。

按严重性划分的漏洞解决百分比衡量根据严重性优先级解决漏洞的程度,优先处理高严重性漏洞为优化标准。所有漏洞中,高严重性漏洞的修复率为 95%,中等严重性漏洞的修复率为 70%。

误报率报告的漏洞中非真实威胁的比例,高误报率表明需改进测试工具或安全流程。某次扫描发现 100 个漏洞,其中 30 个为误报,误报率为 30%。

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg5NjAxNjc5OQ==&mid=2247484013&idx=1&sn=0320e2b2fac90d0c7a892bbf9d9c6784&chksm=c006ca9df771438b7163ec710abd4afcf2a7c91d75e6508413d190f187da80d7363f7a551a62&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh