对于OWASP风险评估,风险的可能性方面是否使用“最坏情况”方案?
我们的代码审查员提到风险既是影响又是可能性,因此,需要使用“最坏情况”对可能性进行评估,并在OWASP文档中对此进行了记录: https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology#Step_4:_Determining_the_Severity_of_the_Risk
有人同意这种观点吗?
2 个答案:
答案 0 :(得分:0)
在我看来,如果您仔细阅读,最坏情况仅与多个威胁代理有关,因此请使用最坏情况。提出总体可能性应该是最坏的情况意味着这不是可能性,而是最坏的情况。它们是完全不同的东西。
如果您阅读了第一段,就会提到可能性是粗略的衡量方式,该漏洞被发现的可能性。
第二,您将脆弱性和风险混合在一起,而最终指标始终是风险。
感谢您对此响应的支持,因此我可以返回代码审阅者,向他表明他对OWASP的理解有误。
答案 1 :(得分:0)
Step 1: Identifying a Risk建议使用最坏的情况。
Step 2: Factors for Estimating Likelihood还建议使用最坏的情况。
Step 3: Factors for Estimating Impact没有提到最坏的情况。
因此,使用最坏情况的场景是可能的。但是,构成“最坏情况”的内容可能是主观的,并且有可能引起争议。
“最坏情况”的一个极端示例是攻击者是国家赞助的。他们已经开发了用于发现和利用威胁的自动收集工具。他们有几个间谍在为您的公司工作,因此他们知道这些漏洞。他们还知道如何禁用或解决入侵检测系统。
希望应用此类风险评级的人将使用“最坏情况”的常识版本。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?