我想开始测量软件安全性,这意味着,我想了解我的应用程序是否安全,并逐月改进。
如果能提供一些工具的建议,那将是非常有用的。
我使用声纳来检测漏洞,但这是不够的,因为我无法看到在它上面花费的进展和努力。例如,我可以看到我有10个主要漏洞,但我不确定我可以衡量什么,而不是漏洞数量
您的系统对于某些类型的漏洞是安全的。如果您让您的应用程序在不触及代码库的情况下运行,那么它每天都会变得不那么安全。因此,今天的安全评分可能不足以应付明天。
定期检查您的代码库是否存在常见的漏洞(通过利用OWASP、CWE等),可以帮助您识别潜在的风险。通过进行适当的风险评估可以帮助您发现高风险问题。它们可以被预防/减轻,或者至少被检测到。
所以,我的意思是有一个最新的高风险漏洞列表(从您的系统角度)可以帮助您采取行动,并保持您的系统对最新的常见漏洞和暴露(cve)的安全。安全性不是可以得到一般度量的东西。世界上没有绝对的安全。
然而,像Veracode这样的工具确实试图分配"分数"。对于一个组件,包括您的源代码和您正在使用的第三方工件和版本。