开发软件的安全度量

Question

考虑到当前的软件安全度量，我考虑了以下软件安全度量：

• 开发人员检测到的CWE数量/类型(错误报告)
• 静态分析检测CWE的数量/类型
• 编译时警告的数量/类型(即:来自堆栈保护/增强源)
• (假定的)内存泄漏的数量/类型(运行的软件在val研或其他什么情况下)
• 不安全函数调用的数量/类型(sprintf而不是sNprintf)

现在的问题是：

1. 您建议软件上的其他安全指标是什么？
2. 有关于这个话题的艺术参考资料吗？

我只能在IT上找到安全度量，而不能在软件(软件开发)上找到。

目标是衡量和概述开发的软件有多坏/好，衡量在安全软件开发实践上增加/减少努力的地方，或者安全过程需要改变的地方。

Answer 1

说出你在问题报告0中列出的所有指标。这是否意味着你的软件是安全的？发现0错误是否意味着没有bug？

您之所以很难找到只有软件的度量标准，是因为软件不存在于真空中。这里有一个同样困难的问题:一件软件值多少钱？

如果有人刚刚给了我一份报告，上面有你在这里列出的指标，我会问几个问题。

您的度量标准是什么安全策略？就像我鄙视这个话题一样(干杯！)任何组织的安全-因此它的软件-都需要基于健全的安全策略。而专注于软件本身，就像你想在你的问题上做的那样，就是回避一件不应该回避的事情。请注意，策略可以确定某些错误与其他错误相比有多严重。

尽管如此：

OWASP有一个可能让您感兴趣的演示文稿这里。

来自演示文稿的警告:软件安全度量

• 度量是上下文敏感的和环境依赖的。
• 建筑相关
• 聚集可能不会导致强度

下面是他们列出的一些指标：

• 规模和复杂性
• 弱点/LOC (CWE)
• 软弱(严重程度，类型)随着时间的推移(CVSSv2，CWE)
• 每缺陷成本
• 攻击面(接口#)
• 层层安全
• 设计缺陷(CWE)

虽然本论文不是一站式引用，但它提供了一种对特定类型的安全缺陷进行加权的方法，该方法可用于开发一个可以应用于开发人员/应用程序的评分系统。

最后，我认为您应该考虑的一个非常重要的统计数据是错误阳性的数量，无论是测试工具还是人工测试人员。

然后是CVSS。