Fortify 如何计算“估计修复工作”分数?

问题描述 投票:0回答:1

fortify 如何计算估计的补救工作分数?

在本文档的第129页,产品手册说明了分数是什么,意味着什么,但没有提供任何关于如何计算的线索。

https://www.microfocus.com/documentation/fortify-static-code-analyzer-and-tools/1820/AWB_Guide_18.20.pdf

fortify sast application-security devsecops
1个回答
0
投票

“估计修复工作量”分数是一个指标,用于向开发人员和安全分析师提供解决和修复工具识别的安全问题或漏洞所需的时间和工作量的近似值。

可以用一般原理来计算:

  • 漏洞的严重性
  • 漏洞类型:不同类型的漏洞(例如 XSS、SQLi)具有不同的复杂性。有些可能需要简单的代码更改,而另一些可能需要重新设计某些组件或数据流。
  • 代码中的位置:由于存在引入错误的风险,位于关键系统组件或复杂且与其他功能紧密耦合的代码区域中的漏洞可能会被标记为需要更多努力来修复。

Fortify 可能使用历史数据数据库或定义的估计来分配各种漏洞所需的初始时间。

系统通过用户对先前估计的准确性和实际修复时间的历史数据的反馈来改进其估计。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.