平均修复软件漏洞时间

无论是网络、移动、云计算还是内部应用程序，构建定制软件的企业都应该衡量从发现漏洞到修复漏洞的时间。

“这个指标可以帮助企业了解生产软件中的漏洞情况，”Denim Group公司负责人John Dickson表示“然而，大多数企业不会内部公布这一指标，而导致最严重的应用程序漏洞(例如SQL注入)很长时间在生产中。”

实际上，这个数据可能被没有发生的修复所歪曲，特别是在开发过程中。因此，企业应该追踪报告的关键漏洞数量和已经修复的漏洞数量，这将会显示静态分析对企业的有效性。

Cigital公司安全举措主管Caroline Wong表示：“为了获得这个指标，软件安全团队必须进行静态分析，计算最初发现的漏洞数量，并计算实际修复的漏洞数量。只有开发人员真正修复软件漏洞，才可能提高代码的质量。”

 

　　漏洞修复延迟

漏洞修复延迟也可以显示安全计划的有效性。

“我们需要证明漏洞修复的进展，对于拥有成千上万设备的很多企业来说，这可能是一个艰巨的任务。他们应该专注于关键漏洞，并报告修复延迟情况，”咨询公司WGM Associates安全做法负责人Scott Shedd表示，“报告我们已经修复的漏洞，哪些还未修复，以及发现了多少新的漏洞。”

 

　　事件响应量

追踪事件响应的数量可以帮助首席信息安全官确定事件被发现和解决的情况。

“这可以显示事件正在进行修复以及根本原因分析，”WGM公司Shedd表示，“这对于持续改进信息安全计划非常重要。”

 

(责任编辑：安博涛)