Domov vývoj Kvalitatívne vs. kvantitatívne: čas na zmenu spôsobu posudzovania závažnosti zraniteľností tretích strán?

Kvalitatívne vs. kvantitatívne: čas na zmenu spôsobu posudzovania závažnosti zraniteľností tretích strán?

Obsah:

Anonim

Výzvou je vyvinúť systém na hodnotenie toho, ako vážne by mala komunita vyvíjajúca softvér brať zraniteľné miesta. Kód je napísaný ľuďmi a vždy bude mať nedostatky. Potom, ak predpokladáme, že nič nebude dokonalé, je otázkou, ako najlepšie rozdelíme komponenty podľa ich rizika spôsobom, ktorý nám umožní pokračovať v produktívnej práci?

Len fakty

Aj keď existuje mnoho rôznych prístupov, ktoré by bolo možné pri riešení tohto problému prijať, každý s vlastným platným odôvodnením, zdá sa, že najbežnejšia metóda je založená na kvantitatívnom modeli.

Na jednej strane použitie kvantitatívneho prístupu k posudzovaniu závažnosti zraniteľnosti môže byť užitočné v tom, že je objektívnejšie a merateľnejšie, založené výlučne na faktoroch súvisiacich so samotnou zraniteľnosťou.

Kvalitatívne vs. kvantitatívne: čas na zmenu spôsobu posudzovania závažnosti zraniteľností tretích strán?