【技术实现步骤摘要】
本专利技术实施例涉及计算机,具体涉及一种sdlc能效度量方法、装置、设备及计算机可读存储介质。
技术介绍
1、sdlc(security development lifecycle,即安全开发生命周期)由微软在2002年提出,是贴合软件开发生命周建立的安全管控全流程,保证安全管控与it建设、规划和运营的同步,实现关口前置,达到以更小成本构建更加安全的信息系统的目标,从源头上消减漏洞。由于这些措施与研发流程高度耦合,存在大量执行分支和人工决策节点,为了确保实施的有效性和效能,需要引入一套数字化度量指标,才能更好地管理、洞察、决策和执行安全管控,形成闭环、持续优化的机制。
2、传统安全度量方法聚焦于从技术角度评估软件面临的安全风险,通过计算风险值评估安全措施的实施效果,其公式如下:
3、风险值=资产价值评分*漏洞值*威胁值;
4、通过计算实施前后的风险值变化可以评估实施的效果如何,上述方法将sdlc的实施看作是一种风险管理,可以直观地反映出信息系统面临的风险,围绕风险管理这一目标评估sdlc的实施效果。
5、然而,本申请专利技术人发现,现有安全度量方法的计算公式引入了动态变化或者难以量化、需要大量人力投入的因素,导致计算困难,并且计算出来的风险值难以支撑决策,因为不同系统的数据大小比较,同一系统不同时间风险值的变化,风险值绝对值本身均难以解读出可以支撑决策的结论。
技术实现思路
1、鉴于上述问题,本专利技术实施例提供了一种sdlc能效度量
2、根据本专利技术实施例的一个方面,提供了一种sdlc能效度量方法,所述方法包括:
3、获取sdlc各实施阶段的数据工单;
4、根据所述数据工单确定用于计算度量指标的指标数据;所述度量指标为预先确定好的技术指标,包括漏洞数、漏洞类型和测试任务次数;
5、根据所述度量指标及对应的指标数据,计算得到所述度量指标对应的指标计算结果;
6、根据所述指标计算结果评估sdlc各实施阶段安全措施的实施效果和实施效率;所述实施效果包括充分度和覆盖度,所述实施效率包括时间效率。
7、在一种可选的方式中,所述获取sdlc各实施阶段的数据工单,包括:获取sdlc测试阶段的第一漏洞工单和测试任务工单;获取sdlc运维阶段的第二漏洞工单。
8、在一种可选的方式中,所述根据所述数据工单确定用于计算度量指标的指标数据,包括:根据所述第一漏洞工单确定用于计算所述度量指标的第一指标数据;根据所述第二漏洞工单确定用于计算所述度量指标的第二指标数据;根据所述测试任务工单确定用于计算所述度量指标的第三指标数据。
9、在一种可选的方式中,所述根据所述度量指标及对应的指标数据,计算得到所述度量指标对应的指标计算结果,包括:根据所述度量指标及对应的第一指标数据,计算得到第一指标计算结果;所述第一指标计算结果包括内部漏洞数、内部漏洞类型;根据所述度量指标及对应的第二指标数据,计算得到第二指标计算结果;所述第二指标计算结果包括外部漏洞数、外部漏洞类型;根据所述度量指标及对应的第三指标数据,计算得到第三指标计算结果;所述第三指标计算结果包括测试任务工单数和测试耗时。
10、在一种可选的方式中,所述根据所述指标计算结果评估sdlc各实施阶段安全措施的实施效果和实施效率,包括:根据所述第一指标计算结果和所述第二指标计算结果,评估sdlc测试阶段安全措施的实施效果;根据所述第三指标计算结果评估sdlc测试阶段安全措施的实施效率。
11、在一种可选的方式中,所述根据所述第一指标计算结果和所述第二指标计算结果,评估sdlc测试阶段安全措施的实施效果,包括:根据所述第一指标计算结果和所述第二指标计算结果,计算得到遗漏漏洞类型占比和测试不充分漏洞类型占比,根据所述遗漏漏洞类型占比和所述测试不充分漏洞类型占比评估sdlc测试阶段安全措施的实施效果;所述遗漏漏洞类型占比的计算公式为:遗漏漏洞类型占比=(a-a∩b)/(a∪b);a为外部漏洞的类型的集合,b为内部漏洞的类型的集合;所述测试不充分漏洞类型占比的计算公式为:测试不充分漏洞类型占比=(a∩b)/(a∪b)。
12、在一种可选的方式中,所述根据所述第一指标计算结果和所述第二指标计算结果,评估sdlc测试阶段安全措施的实施效果,包括:根据所述第一指标计算结果确定各危险级别的内部漏洞的数目和占比;根据各危险级别的内部漏洞的数目和占比评估sdlc测试阶段安全措施的实施效果。
13、根据本专利技术实施例的另一方面,提供了一种sdlc能效度量装置,包括:
14、工单获取模块,用于获取sdlc各实施阶段的数据工单;
15、指标数据确定模块,用于根据度量指标,从所述数据工单确定用于计算所述度量指标的指标数据;所述度量指标为预先确定好的技术指标,包括漏洞数、漏洞类型和测试任务次数;
16、指标计算模块,用于根据所述度量指标及对应的指标数据,计算得到所述度量指标对应的指标计算结果;
17、评估模块,用于根据所述指标计算结果评估sdlc各实施阶段安全措施的实施效果和实施效率;所述实施效果包括充分度和覆盖度,所述实施效率包括时间效率。
18、根据本专利技术实施例的另一方面,提供了一种sdlc能效度量设备,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;
19、所述存储器用于存放至少一可执行指令,所述可执行指令使所述处理器执行上述的sdlc能效度量方法的操作。
20、根据本专利技术实施例的又一方面,提供了一种计算机可读存储介质,所述存储介质中存储有至少一可执行指令,所述可执行指令在sdlc能效度量设备上运行时,使得sdlc能效度量设备执行上述的sdlc能效度量方法的操作。
21、本专利技术实施例通过获取sdlc各实施阶段产生的基础数据即数据工单,而数据工单为客户数据,即数据的获取不依赖人的参与,能够使指标计算可落地。
22、进一步地,本申请根据预先确定好的度量指标,通过始终围绕目标用户的关切点的度量指标,由度量指标向上总结,使最终得到的指标计算结果能够更好地反应sdlc各实施阶段安全措施的实施效果和实施效率。
23、上述说明仅是本专利技术实施例技术方案的概述,为了能够更清楚了解本专利技术实施例的技术手段,而可依照说明书的内容予以实施,并且为了让本专利技术实施例的上述和其它目的、特征和优点能够更明显易懂,以下特举本专利技术的具体实施方式。
本文档来自技高网...【技术保护点】
1.一种SDLC能效度量方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取SDLC各实施阶段的数据工单,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述数据工单确定用于计算度量指标的指标数据,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据所述度量指标及对应的指标数据,计算得到所述度量指标对应的指标计算结果,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述指标计算结果评估SDLC各实施阶段安全措施的实施效果和实施效率,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一指标计算结果和所述第二指标计算结果,评估SDLC测试阶段安全措施的实施效果,包括:
7.根据权利要求5所述的方法,其特征在于,所述根据所述第一指标计算结果和所述第二指标计算结果,评估SDLC测试阶段安全措施的实施效果,包括:
8.一种SDLC能效度量装置,其特征在于,所述装置包括:
9.一种SDLC能效度量设备,其特征在于,包括:处理器
10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一可执行指令,所述可执行指令在SDLC能效度量设备上运行时,使得SDLC能效度量设备执行如权利要求1-7任意一项所述的SDLC能效度量方法的操作。
...【技术特征摘要】
1.一种sdlc能效度量方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述获取sdlc各实施阶段的数据工单,包括:
3.根据权利要求2所述的方法,其特征在于,所述根据所述数据工单确定用于计算度量指标的指标数据,包括:
4.根据权利要求3所述的方法,其特征在于,所述根据所述度量指标及对应的指标数据,计算得到所述度量指标对应的指标计算结果,包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述指标计算结果评估sdlc各实施阶段安全措施的实施效果和实施效率,包括:
6.根据权利要求5所述的方法,其特征在于,所述根据所述第一指标计算结果和所述第二指标计算结果,评估...
【专利技术属性】
技术研发人员:王方凯,金文佳,杨阳,吕斌,朱毅,唐会明,
申请(专利权)人:国信证券股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。