.png)
The DigitalOcean Blog
·
结合安全风险债务的情境漏洞管理
💡
原文英文,约3200词,阅读约需12分钟。
📝
内容提要
数字海洋在2022年重新设计了漏洞管理计划,引入了安全债务的概念,并取得了成功。他们将漏洞分配给业务部门,根据严重程度和解决时间计算安全风险的债务。这种方法激励了业务部门解决安全问题,提高了安排安全工作的自主权。数字海洋的漏洞管理模式得到了其他业务部门的采用,并取得了积极效果。他们的目标是更快解决重要的安全问题,减少对工程团队的干扰,并让工程和产品领导者成为安全工作的决策者。通过建立安全债务阈值来衡量每个业务部门的安全债务,并报告是否符合阈值。这种方法在数字海洋内部得到了广泛应用。
🎯
关键要点
- 数字海洋在2022年重新设计了漏洞管理计划,引入了安全债务的概念,取得了成功。
- 漏洞分配给业务部门,根据严重程度和解决时间计算安全风险的债务,激励业务部门解决安全问题。
- 数字海洋的漏洞管理模式得到了其他业务部门的采用,并取得了积极效果。
- 目标是更快解决重要的安全问题,减少对工程团队的干扰,让工程和产品领导者成为安全工作的决策者。
- 建立安全债务阈值来衡量每个业务部门的安全债务,并报告是否符合阈值。
- 安全团队不再追踪个别团队或票据,产品负责人可以自主处理漏洞修复。
- 通过安全债务的概念,业务领导能够与高管团队进行清晰的安全态势对话。
- 强调与业务和产品领导者的互动,确保新方法得到广泛接受。
- 安全债务系统被赞誉为灵活性和责任感的良好平衡,促进了技术团队的自主性。
- 数字海洋持续监测和改进该计划,寻求运营效率的提升。
➡️
