🛡️ **开发态安全指标:** 衡量产品上线前的安全要求执行情况,包括业务上线前是否经过安全测试(如安全评审、静态代码扫描、黑盒安全扫描、人工安全测试等),以及是否满足安全要求后才发布上线(已发现漏洞的修复情况)。核心指标包括漏洞数量、漏洞修复率、XAST扫描覆盖率等,用于考察业务部门落实安全要求的情况。
🚀 **运行态安全指标:** 关注产品在运行过程中的安全状况及趋势,包括开发过程中执行安全要求的质量、发现安全事件时的应急响应能力,以及各类安全防护措施的开启与否。常见指标有安全事件数量、应急响应时间、违规数量等,用于评估产品的整体安全表现和风险趋势。
📊 **项目管理适用性:** 对于单个项目而言,若用于开发安全管理及汇报,开发态指标通常更为适宜。这是因为项目交付后,其后续的维护和安全责任可能由客户或其他团队承担,因此度量项目交付前的安全状态至关重要。最终指标的选择需结合项目的实际情况进行确定。
aerfa21 2025-09-22 06:07 浙江
对产品的安全性度量,可以从以下两方面找一些指标:
一是开发态下执行安全要求的情况,包括业务线上线前是否经过安全测试(安全评审/静态代码扫描/黑盒安全扫描/人工安全测试等),是否满足安全要求后才发布上线(已发现漏洞修复情况),考察业务部们落实安全要求的情况,常见指标有漏洞数、漏洞修复率、XAST扫描覆盖率等;
二是运行态下产品安全情况及趋势,包括开发过程中执行安全要求的质量、发现安全事件应急响应、各类安全防护开启与否等情况,常见指标有安全事件数、应急响应时间、违规数等。
就单个项目而言,如果用于开发安全管理及汇报,前者提到的指标更适宜用于度量,因为项目交付后可能就是客户或其他团队在负责,需结合实际情况来定。
------------更多内容,请访问-------------
1、SDL 100问
SDL 95/100问:针对有漏洞的代码,安全怎么不让发版?
2、SDL创新实践
3、SDL最初实践
4、安全运营实践
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑