Stop Using Vulnerability Counts to Measure Software Security
9 months ago
- #Software Metrics
- #Vulnerability Management
- #Cybersecurity
- 漏洞修复数量不等于漏洞数量;更多的修复并不一定意味着软件更安全。
- 用漏洞修复数量衡量安全性存在缺陷,忽略了发现努力和技术进步等细微差别。
- '两名飞机机械师'的类比说明了透明度和有记录的修复比表面保证更重要。
- 网络安全中的错误比较(如对比系统间的漏洞数量)是有问题的且具有误导性。
- 漏洞修复数量有时被用来证明新安全实践的合理性,导致过度关注已妥善解决的问题。
- '捕鼠器悖论'揭示:一个已修复漏洞既是过去的错误,也是当前的改进。
- 网络安全本质是回顾性的——只有发现并修复漏洞后才能确认安全性。
- 惩罚承认错误的工程师会催生隐瞒错误而非改进流程的有害动机。
- 建议将'已报告漏洞数量'(NumVulnsReported)作为安全指标的分母,以聚焦发现效率。
- 提出'漏洞再犯指标'来衡量重复出现的漏洞,揭示潜在流程缺陷。
- 白宫报告强调软件安全难以量化,需建立能安全承认错误并从中学习的环境。