修復
判定風險並設定漏洞優先順序之後,您的安全團隊便可展開補救程序。
基本補救工作流程:
- 安全主管設定補救的優先順序,並指派補救作業給開發團隊。如果被利用的可能性很小,安全主管可以決定承擔某種程度的風險,而不指派某些漏洞進行補救。在某些情況下,監視設定期間的狀況可能是最佳行動方針。
- 開發人員修正最高優先順序的漏洞。
- QA 工程師對新版本的應用程式執行適當的測試,確認補救成功,並將資料轉送給安全主管。
除了修正問題之外,安全主管還可以採取其他行動:
- 訓練開發人員安全撰寫程式碼的技術。
- 提供處理問題的程式碼庫。
- 建立測試計劃和 Script,以在開發生命週期早期偵測到問題。
- 在應用程式規格中,建立安全撰寫程式碼的最佳實務。