AlexRedSec
@alexredsec
В ежегодном отчете 2025 State of Software Security: A New View of Maturity авторы уделили большое внимание ключевым метрикам, используемым для оценки зрелости организации в области обнаружения и устранения уязвимостей в разрабатываемом программном обеспечении.
В исследовании выделили пять метрик, которые должны помочь оценить эффективность программы безопасности разрабатываемого в организациях ПО и выявить области для улучшения:
🔸Flaw Prevalence (распространенность дефектов)
Измеряет процент приложений, содержащих хотя бы один неисправленный дефект в последней проверке или тесте.
Рассчитывается как общий показатель или для групп приложений, команд разработчиков или типов дефектов.
Важна для установления базового уровня, который можно отслеживать с течением времени.
Значительные изменения (положительные и отрицательные) могут быть проанализированы для выявления причин и улучшения процессов безопасной разработки.
Типичная организация имеет уязвимости безопасности примерно в двух третях своих приложений.
🔸Fix Capacity (емкость исправления/способность к исправлению)
Вычисляет количество уязвимостей, устраненных за определенный период времени, в процентах от всех уязвимостей, обнаруженных в приложении.
Помогает командам оценить, какую часть существующих уязвимостей они могут реально исправить в следующем месяце или квартале, и спланировать свои действия соответствующим образом.
Средняя месячная производительность исправления для большинства приложений составляет менее 10% от всех уязвимостей.
🔸Fix Speed (скорость исправления)
Измеряет время, необходимое для исправления 50% обнаруженных уязвимостей.
В качестве основы для этой метрики используется анализ выживаемости.
Типичной организации требуется около пяти месяцев, чтобы исправить половину всех обнаруженных уязвимостей.
🔸Debt Prevalence (уровень долга безопасности)
Показывает процент приложений, имеющих неисправленные дефекты, существующие более года.
Помогает оценить, насколько широко распространен долг безопасности в ваших приложениях.
Среди организаций, имеющих долг безопасности, четверть ограничивает его менее чем 17% своих приложений, в то время как в отстающих организациях долг затрагивает две трети или более их приложений.
🔸Open-Source Debt (долг безопасности стороннего ПО)
Измеряет процент всего долга безопасности, который существует в сторонних библиотеках и другом программном обеспечении, разработанном за пределами организации, и используемом при разработке приложений.
Так как процесс устранения уязвимостей в стороннем ПО отличается и зависит от его авторов, то логичнее рассчитывать его отдельно от предыдущей метрики.
Большая часть критического долга безопасности организации существует в стороннем коде.
#metrics #ssdlc #appsec #flaw #vulnerability
В исследовании выделили пять метрик, которые должны помочь оценить эффективность программы безопасности разрабатываемого в организациях ПО и выявить области для улучшения:
🔸Flaw Prevalence (распространенность дефектов)
Измеряет процент приложений, содержащих хотя бы один неисправленный дефект в последней проверке или тесте.
Рассчитывается как общий показатель или для групп приложений, команд разработчиков или типов дефектов.
Важна для установления базового уровня, который можно отслеживать с течением времени.
Значительные изменения (положительные и отрицательные) могут быть проанализированы для выявления причин и улучшения процессов безопасной разработки.
Типичная организация имеет уязвимости безопасности примерно в двух третях своих приложений.
🔸Fix Capacity (емкость исправления/способность к исправлению)
Вычисляет количество уязвимостей, устраненных за определенный период времени, в процентах от всех уязвимостей, обнаруженных в приложении.
Помогает командам оценить, какую часть существующих уязвимостей они могут реально исправить в следующем месяце или квартале, и спланировать свои действия соответствующим образом.
Средняя месячная производительность исправления для большинства приложений составляет менее 10% от всех уязвимостей.
🔸Fix Speed (скорость исправления)
Измеряет время, необходимое для исправления 50% обнаруженных уязвимостей.
В качестве основы для этой метрики используется анализ выживаемости.
Типичной организации требуется около пяти месяцев, чтобы исправить половину всех обнаруженных уязвимостей.
🔸Debt Prevalence (уровень долга безопасности)
Показывает процент приложений, имеющих неисправленные дефекты, существующие более года.
Помогает оценить, насколько широко распространен долг безопасности в ваших приложениях.
Среди организаций, имеющих долг безопасности, четверть ограничивает его менее чем 17% своих приложений, в то время как в отстающих организациях долг затрагивает две трети или более их приложений.
🔸Open-Source Debt (долг безопасности стороннего ПО)
Измеряет процент всего долга безопасности, который существует в сторонних библиотеках и другом программном обеспечении, разработанном за пределами организации, и используемом при разработке приложений.
Так как процесс устранения уязвимостей в стороннем ПО отличается и зависит от его авторов, то логичнее рассчитывать его отдельно от предыдущей метрики.
Большая часть критического долга безопасности организации существует в стороннем коде.
#metrics #ssdlc #appsec #flaw #vulnerability
🔥 2
👍 1
🤔 1
39 1.7K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram