CISO助手
完成度
0%(0/189)
评估报告
DSOM

DevSecOps 成熟度模型 2024

成熟度模式

DevSecOps成熟度模型,帮助组织实施和改进DevSecOps实践。

版本: 2024覆盖状态: 完整覆盖 (378/378)控制项/量表/总计: 189/189/378当前展示: 5 / 1895 个分类

测试强度

5
T-TI-1-1强度的默认设置成熟度实践
测试与验证 / 测试强度

所使用工具的强度没有修改以节省时间。风险:时间压力和无知可能导致对测试强度的错误预测。在每次推送和/或指定间隔自动执行安全测试。风险:将源代码推送到版本控制系统后,任何延迟收到缺陷反馈都会使开发人员更难修复它们。不必要的测试将被停用。例如,如果服务使用的是 Mongo 数据库而没有 MySQL 数据库,动态扫描就不需要测试 SQL 注入。风险:由于工具涵盖了各种不同的漏洞测试,它们可能无法匹配所使用的组件。因此,它们需要更多的时间和资源,同时反馈循环也会耗费过多时间。进行高测试强度且低置信度阈值的深度扫描。风险:强度过小或置信度过高可能导致漏洞不可见。制定并应用了一个考虑每次扫描/强度所需时间的测试方案。动态分析比静态分析需要更多时间。动态扫描根据测试强度可能在每次提交、每晚、每周或每月进行一次。风险:扫描可能使用过低或过高的测试强度。标准:所使用工具的强度没有进行调整以节省时间。

评估
评估状态:
评估备注:
T-TI-2-1高强度测试成熟度实践
测试与验证 / 测试强度

所使用工具的强度没有修改以节省时间。风险:时间压力和无知可能导致对测试强度的错误预测。在每次推送和/或在设定的间隔自动执行安全测试。风险:将源代码推送到版本控制系统后,任何接收缺陷反馈的延迟都会使开发人员更难以修复。未使用的测试被停用。例如,如果服务使用的是 Mongo 数据库而没有 MySQL 数据库,动态扫描就不需要测试 SQL 注入。风险:由于工具涵盖了各种不同的漏洞测试,它们可能无法匹配所使用的组件。因此,它们需要更多的时间和资源,同时反馈循环也会耗费过多时间。进行高测试强度且低置信度阈值的深度扫描。风险:强度过小或置信度过高可能导致漏洞不可见。制定并应用了一个考虑每次扫描/强度所需时间的测试方案。动态分析比静态分析需要更多时间。动态扫描根据测试强度可能在每次提交、每晚、每周或每月执行一次。风险:扫描可能使用过低或过高的测试强度。标准:进行高测试强度且低置信度阈值的深度扫描。

评估
评估状态:
评估备注:
T-TI-2-2定期自动化测试成熟度实践
测试与验证 / 测试强度

所使用工具的强度没有修改以节省时间。风险:时间压力和无知可能导致对测试强度的错误预测。在每次推送和/或在设定的间隔自动执行安全测试。风险:将源代码推送到版本控制系统后,任何接收缺陷反馈的延迟都会使开发人员更难以修复。未使用的测试被停用。例如,如果服务使用的是 Mongo 数据库而没有 MySQL 数据库,动态扫描就不需要测试 SQL 注入。风险:由于工具涵盖了各种不同的漏洞测试,它们可能无法匹配所使用的组件。因此,它们需要更多的时间和资源,同时反馈循环也会耗费过多时间。进行高测试强度且低置信度阈值的深度扫描。风险:强度过小或置信度过高可能导致漏洞不可见。制定并应用了一个考虑每次扫描/强度所需时间的测试方案。动态分析比静态分析需要更多时间。动态扫描根据测试强度的不同,可以在每次提交、每晚、每周或每月进行一次。风险:扫描可能使用过低或过高的测试强度。标准:在每次推送时和/或在指定间隔自动执行安全测试。

评估
评估状态:
评估备注:
T-TI-3-1停用不必要的测试成熟度实践
测试与验证 / 测试强度

所使用工具的强度没有修改以节省时间。风险:时间压力和无知可能导致对测试强度的错误预测。在每次推送和/或指定间隔自动执行安全测试。风险:将源代码推送到版本控制系统后,任何延迟收到缺陷反馈都会使开发人员更难修复它们。不必要的测试将被停用。例如,如果服务使用的是 Mongo 数据库而没有 MySQL 数据库,动态扫描就不需要测试 SQL 注入。风险:由于工具涵盖了各种不同的漏洞测试,它们可能与所使用的组件不匹配。因此,它们需要更多时间和资源,同时反馈循环也会耗费过多时间。进行高测试强度且低置信度阈值的深度扫描。风险:强度过小或置信度过高可能导致漏洞不可见。制定并应用了一个考虑每次扫描/强度所需时间的测试方案。动态分析比静态分析需要更多时间。动态扫描根据测试强度,可能在每次提交、每晚、每周或每月执行一次。风险:扫描可能使用过低或过高的测试强度。标准:不必要的测试会被禁用。例如,如果服务使用的是 Mongo 数据库而不是 MySQL 数据库,动态扫描就不需要测试 SQL 注入。

评估
评估状态:
评估备注:
T-TI-4-1测试概念的创建与应用成熟度实践
测试与验证 / 测试强度

所使用工具的强度没有修改以节省时间。风险:时间压力和无知可能导致对测试强度的错误预测。在每次推送和/或指定间隔自动执行安全测试。风险:将源代码推送到版本控制系统后,任何延迟收到缺陷反馈都会使开发人员更难修复它们。不必要的测试将被停用。例如,如果服务使用的是 Mongo 数据库而没有 MySQL 数据库,动态扫描就不需要测试 SQL 注入。风险:由于工具涵盖了各种不同的漏洞测试,它们可能与所使用的组件不匹配。因此,它们需要更多时间和资源,同时反馈循环也会耗费过多时间。进行高测试强度且低置信度阈值的深度扫描。风险:强度过小或置信度过高可能导致漏洞不可见。制定并应用了一个考虑每次扫描/强度所需时间的测试方案。动态分析比静态分析需要更多时间。动态扫描根据测试强度的不同,可能会在每次提交、每个夜间、每周或每月进行一次。风险:扫描可能使用的测试强度过低或过高。标准:创建并应用一个考虑每次扫描所需时间/强度的测试方案。动态分析比静态分析需要更多时间。动态扫描根据测试强度,可能在每次提交、每晚、每周或每月进行一次。

评估
评估状态:
评估备注: