修复
在确定风险和划分漏洞优先级之后,安全团队可开始补救过程。
基本补救工作流程:
- 安全经理设置补救的优先级并将补救任务分配给开发团队。如果被利用的可能性很小,则安全经理可能决定接受某种程度的风险而且不分配某些漏洞进行修复。在某些情况下,监视固定时间段内的情况能是最佳操作过程。
- 开发人员修复优先级最高的漏洞。
- QA 工程师对应用程序新版本运行相应的测试,确认修复已成功,并将数据转发给安全经理。
除了修订缺陷之外,安全经理还可执行其他操作:
- 对开发人员进行有关安全编码方法的培训。
- 提供解决问题的代码库。
- 创建测试计划和脚本以提前检测开发生命周期中的缺陷。
- 在应用程序规范中建立安全编码的最佳实践。