Metrics, KPIs, and Application Security
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
#bestpractice #ops #dev
Вчера общался с Максимом Мошаровым (@httpnotonly), основателем компании WhiteSpots. Они занимаются аутсорсом безопасности приложений для зарубежных компаний. Основная цель разговора была обсудить лучшие практики, применяемые для организации процессов безопасной разработки.
Максим поделился довольно интересной статьей от HP -
"Magic Numbers . 5 Key Performance Indicators for Web Application Security"
Среди описываемых метрик довольно простой, но, кажется, что эффективной является WRT (Weighted Risk Trend).
WRT = [X(critical)*defects + X(high)*defects + X(medium)*defects + X(low)*defects]* Criticality(business)
Где critical/high/medium/low - метрики CVSS, а Criticality - коэффициент критичностти приложения для бизнеса. Метрики CVSS можно получить из результатов сканирования или дефект-трекера. Складывая WRT всех приложений и определяя ее граничное значение можно обозначить порог, при котором имеет смысл отправить алерт.#bestpractice #ops #dev