高防IP_祺祥重宝当十高防图片_快速接入-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 高防IP_祺祥重宝当十高防图片_快速接入

高防IP_祺祥重宝当十高防图片_快速接入

小墨安全管家 2021-05-03 06:23 CC防护 89 ℃
DDoS防御

高防IP_祺祥重宝当十高防图片_快速接入

答应DevOps的客户经常要求我提供最好的指标来衡量他们的打算。我向来主张将策略遵从性作为了解风险的首要指标,因为这能够简洁地度量应用程序的安全性。然而,假如您希翼度量和激励开辟团队,这么策略遵从性并不能为您提供引入游戏化或激励措施的粒度。政策遵从性是很黑白的;你要么是合规的(好!)或者你不坏。于是,当和客户谈论以持续改进的精神激励团队时,我爱慕提出平均解决时刻(MTTR)。我还将其视为"平均修复时刻"、"平均恢复时刻"或"平均响应时刻"。我个人爱慕"解决",因为它表示安全寻找已关闭,这与我们怎么计算此指标一致。你经常会看到MTTR与DevOps以及使工作可见和可测量的承租人联系在一起,所以无法证明。这算是为啥我向我们的用户提出那个咨询题的缘由;不管您花多长时刻来解决一具安全咨询题,都将有助于组织对程序举行改进,从而在策略遵从性的总体指标上迈出关键一步。怎么在Veracode计算MTTRMTTR的标准定义如下:纠正性维护时刻/纠正性维护操作的总数。当我们在新的分析功能中实现MTTR时,我们最初将其解释为寻找首次发觉日期,即寻找每个发觉的关闭日期除以发觉总数。听起来表面价值不错,但当涉及到Veracode的安全发觉时,实现那个精确的计算有些棘手。由于客户要紧使用静态分析作为其开辟管道的一部分,所以我们将重点放在静态结果上,以确保计算故意义,虽然这也适用于动态分析和开源结果。关于静态分析结果,依照扫描的代码,每个寻找能够打开和关闭多次。假如我们能够经过多次扫描来断言发觉的细微变化,但我们能够经过多次扫描来确定。假如开辟人员扫描代码时不记得了一具模块,或者只扫描了他们正在处理的代码的一小部分,这么我们就看不到往常发觉的结果,所以这些结果也被标记为关闭,因为它们不存在。假如开辟人员随后再次扫描整个应用程序,则会重新打开这些发觉。在整个开辟周期中,这种事情经常发生。在这种事情下,衡量开放和封闭的活动也许并不相关。可是,一旦你专注于一具候选版本,这种度量就有了新的重要性。此外,假如您正在查看一具正在生产中的应用程序,则此度量更为重要,因为这是我们有效地看到组织响应和解决安全发觉所需的时刻。提供故意义的MTTR我们怎么提供故意义的MTTR?在Veracode Analytics中,我们关注的是最近一次发觉一具发觉,以及最近一次发觉被关闭。我们总是查看策略上下文来计算MTTR。尽管这能够在每个沙盒上下文的基础上计算,DDoS防御,但由于缺陷匹配,尝试计算所有沙盒的MTTR会导致很奇怪的数据。假如一具缺陷在沙盒1中是开放的,但在沙盒3中是关闭的,因为它在沙盒17中不存在并得到缓解,这么该缺陷的当前状态是啥?无论沙盒或策略怎么,最近的扫描是代表"当前"状态,依旧只代表已执行的扫描?这算是限制策略上下文特别重要的缘由,因为在策略级别执行的扫描有一定的操纵级别。"已解决"是指固定(也称为"补救"或不再出如今扫描中)和缓解,其中有人记录了对发觉的补偿操纵,同时该操纵已获得批准。这意味着,假如某个发觉具有相关的批准缓解措施,则发觉该咨询题的最近时刻也大概与解决该咨询题的时刻彻底相同,因为该缓解措施将即将关闭该调查结果。MTTR的最终一具细微差别是比较处理阻碍政策的结果与普通安全债务的速度。Veracode的策略经常被用作一具筛子,以确保与开辟团队就哪些是重要的和哪些需要修复的咨询题举行清楚的沟通,而不是简单的附加信息。假如策略使用正确,CC防御,您应该看到阻碍策略的结果的解决速度比所有其他结果都快。假如不是如此,这么开辟人员就不大概使用策略来划分工作的优先级。MTTR的"平均"想法MTTR本质上是一种计算;虽然它的名字是,我们实际上执行的是平均值。"需要解决的天数"是调查结果的一具维度。此数据仅在寻找处于关闭状态时填充。一具发觉是一具缺陷匹配的缺陷,Veracode在很多扫描中都看到了,这算是为啥我们在分析功能中将"扫描探究"和"发觉探究"分开,因为扫描是一具时刻点,而发觉是随时刻推移的。当我们观看MTTR时,我们本质上是看一组发觉及其"解决天数"维度,接着取总解决时刻除以发觉数量的平均值。为您的组织衡量解决咨询题的时刻一位客户最近咨询我,为啥他看到整个组织的平均平均修复时刻与他发觉的三个业务部门的平均平均修复时刻不同。关于每个应用程序,都有N个处于关闭状态的结果,需要一段时刻来解决。当我们查看measuremean-Time-to-Resolve时,我们实际上提供了所选维度的平均解析时刻。于是,当你查看一具应用程序并看到"需要解决的天数"时,你实际上看到的是N的平均值。所以:平均解决时刻∑(xi)=(每次解决的时刻总和)求和算是为啥(A=(∑xi)/n1)+(B=(∑xi)/n2)+(C=(∑xi)/n3)+≠(Z=(∑xi)/nA),其中n1、n2和n3是每个业务单元(BU),nA是三个BU的总和。当你从数学上看那个咨询题并考虑运算顺序时,你会发觉你总是先完成∑xi,接着再除以发觉的数量。这意味着,每个BU(A、B和C)的数字大概与所有BU的加起来(Z)大不相同,因为在举行加法步骤之前先举行除法步骤,CC防御,这在数学上是不正确的。简言之,在不应该有相等权重的事情下,您提供了相等的权重。​下面是一具例子:BU A包含2个关闭的缺陷,需要1天才干关闭。BU A的MTTR=(1+1)/2=1BUB包含200个关闭的缺陷,需要20天才干关闭。BU B的MTTR=(200x20)/20=200假如我们把这些加起来除以2,我们就不能得到两条总线上所有缺陷的平均修复时刻。相反,我们得到了一具没故意义的数字,因为BU a的两个缺陷被给予了重要的权重。假如我们想要两条总线上所有缺陷的MTTR,这么我们必须及时将所有缺陷加在一起解决,接着除以缺陷总数。正确使用MTTR在我们的客户群中,我们能够看到各种各样的MTTR。这在特别大程度上取决于应用程序的类型及其对组织的重要性。假如您有一具面向内部的遗留系统,DDoS防御,解决该应用程序的平均时刻为30天大概会特别好。假如您有一具外部应用程序来处理您的PII,五天的时刻关于您的平均解决时刻来讲大概太长了。指标和关键绩效指标提供了信息,但在运行AppSec打算的日常运营和治理对整个组织风险的理解时,由AppSec领导层使用这些信息并做出数据驱动的决策。


DDoS防御

当前位置:主页 > CC防护 > 高防IP_祺祥重宝当十高防图片_快速接入

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119