SDL 100/100问:针对内部的高中低危漏洞,给业务部门多长时间修复?
在回顾该问题时,发现提问者并没有把问题定位得很清楚,导致在没有人追问的情况下,大家给出的应答也不具体。说它不清楚在于内部漏洞,在我看来至少有两个主要来源:
1、产品发布上线前各类安全测试发现的漏洞:这种情况其实有比较明确的修复要求,至少是要在系统发版前完成修复,如果做得更好的话,也可以制定明确的修复时间来推动业务方修复,但这个时间一定是要与发版时间相比较,把短的用来做deadline;
2、产品或内部资产运行状态下日常漏扫漏洞:这类漏洞主要是针对内部资产或外部互联网侧的应用,缺少明确的时间参考系,所以要制定修复时间,可以细分出优先级。比如互联网侧的信息系统修复时间要求比内网的短,高危漏洞比低危修复时限要求短,从执行来看互联网系统按照几天甚至几小时比较合适、内网系统按照几周或1个月比较合适。
针对逾期修复的情况,可以在内部做红黑榜进行推动,可以设置安全风险分数(逾期修复天数*漏洞风险等级对应的权重*存在漏洞的资产重要性对应权重),然后按照部门进行风险分数计算并在全公司晒榜,以此激励大家修复漏洞。
------------更多内容,请访问-------------
1、SDL 100问
SDL100问:我与SDL的故事
SAST误报太高,如何解决?
SDL需要哪些人参与?
大家都有哪些SDL运营指标?
开发安全左移和右移,哪一个更好?
SDL 99/100问:如何进行软件安全需求分析?
2、SDL创新实践
首发!“ 研发安全运营 ” 架构研究与实践
DevSecOps实施关键:研发安全团队
DevSecOps实施关键:研发安全流程
DevSecOps实施关键:研发安全规范
DevSecOps实施关键:研发安全工具
数字化转型下研发安全痛点
一个思考:安全测试驱动产品安全?
3、SDL最初实践
【SDL最初实践】开篇
【SDL最初实践】安全培训
【SDL最初实践】安全需求
【SDL最初实践】安全设计
【SDL最初实践】安全开发
【SDL最初实践】安全测试
【SDL最初实践】安全审核
【SDL最初实践】安全响应
4、安全运营实践
基于实践的安全事件简述
安全事件运营SOP:钓鱼邮件
安全事件运营SOP:网络攻击
安全事件运营SOP:蜜罐告警
安全事件运营SOP:webshell事件
安全事件运营SOP:接收漏洞事件