OWASP Risk Rating Methodology-V2.pdf

《OWASP Risk Rating Methodology-V2.pdf》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、OWASPRiskRatingMethodologyOWASP风险评级方法论Contents目录：•1TheOWASPRiskRatingMethodology•1.OWASP风险评级方法论•2Approach•2.方法•3Step1:IdentifyingaRisk•3.步骤一：确定风险类别•4Step2:FactorsforEstimatingLikelihood•4.步骤二：评估可能性的因素o4.1ThreatAgentFactorso4.1威胁来源因素o4.2VulnerabilityFactorso4.2脆弱

2、性因素•5Step3:FactorsforEstimatingImpact•5.步骤三：评估影响的因素o5.1TechnicalImpactFactorso5.1技术影响因素o5.2BusinessImpactFactorso5.2业务影响因素•6Step4:DeterminingtheSeverityoftheRisk•6步骤四:确定风险的严重程度o6.1InformalMethodo6.1非正式的方法o6.2RepeatableMethodo6.2重复方法o6.3DeterminingSeverityo6.3确定严

3、重程度•7Step5:DecidingWhattoFix•7步骤七:决定修复内容•8Step6:CustomizingYourRiskRatingModel•8步骤八:自定义您的风险评级模型o8.1Addingfactorso8.1增加因素o8.2CustomizingoptionsndDraftedbyRoy2/14/2012Revised2byMcFord9.6.2011OWASP中国http://www.owasp.org.cno8.2自定义选项o8.3Weightingfactorso8.3因素加权9Refer

4、ences9参考TheOWASPRiskRatingMethodologyOWASP风险评级方法论Discoveringvulnerabilitiesisimportant,butjustasimportantisbeingabletoestimatetheassociatedrisktothebusiness.Earlyinthelifecycle,youmayidentifysecurityconcernsinthearchitectureordesignbyusingthreatmodeling.Later,yo

5、umayfindsecurityissuesusingcoderevieworpenetrationtesting.Oryoumaynotdiscoveraproblemuntiltheapplicationisinproductionandisactuallycompromised.发现漏洞很重要，能够评估对业务相关的风险同样重要。在软件生命周期的早期，你可能在架构中定义或者用威胁模型设计安全的概念。随后，也许你会通过代码审查或渗透测试发现安全问题，也许直到发布后被真正攻破了才发现。Byfollowingtheapp

6、roachhere,you'llbeabletoestimatetheseverityofalloftheseriskstoyourbusiness,andmakeaninformeddecisionaboutwhattodoaboutthem.Havingasysteminplaceforratingriskswillsavetimeandeliminatearguingaboutpriorities.Thissystemwillhelptoensurethatyoudon'tgetdistractedbyminor

7、riskswhileignoringmoreseriousrisksthatarelesswellunderstood.通过这里提供的方法，你将能够评估所有与业务有关的风险的严重性，从而明智的决定如何应对。拥有一套风险评级系统，不但节约时间，而且能消除对优先次序的争论。这种系统可以确保不会因为一些小问题而忽略那些不易理解却更严重的大风险。Ideally,therewouldbeauniversalriskratingsystemthatwouldaccuratelyestimateallrisksforallorgan

8、izations.Butavulnerabilitythatiscriticaltooneorganizationmaynotbeveryimportanttoanother.理想的情况是有一个通用的风险评级系统，能够准确评估所有组织的所有风险。但同一个漏洞，对某些组织来说很关键，对其他单位可能就没那么重要。。Soabasicfr