根据 CERT C 编码标准,每条规则都附有风险评估汇总表。
例如:
规则 02. 声明和初始化 (DCL)
DCL31-C。在使用之前声明标识符
风险评估总结
规则严重性可能性补救成本优先级
DCL31-C 低 不太可能低 P3 L3
风险评估汇总表向程序员传达什么信息,如何解读?上面提到的术语是什么?它们是什么意思?
最佳答案
根据 introduction to the SEI CERT coding standard ,风险评估计算为严重性、可能性和补救成本的乘积。
其中每一个都带有值 1
到 3
,如下所示:
1 2 3
+------------------+------------+--------------+-----------+
| Severity | Low | Medium | High |
+------------------+------------+--------------+-----------+
| Likelihood | Unlikely | Probable | Likely |
+------------------+------------+--------------+-----------+
| Remediation cost | High (m/m) | Medium (a/m) | Low (a/a) |
+------------------+------------+--------------+-----------+
最后一行的m
和a
项表示处理规则的检测和纠正要求(m
表示手动,a
表示自动)。因此,我们有一个表格,其中包含用于增加严重性和可能性以及减少补救工作的大量数字。
结果产品的优先级为 1
到 27
,尽管只有该范围内的某些值是可能的(例如,没有办法将数字相乘得到7
).
该产品(优先级)然后变成如下级别:
优先级 1
到 4
是级别 3
- 这些是针对低严重性、不太可能且难以修复的级别.
优先级 6
、8
和 9
是级别 2
- 这些在严重性方面处于中间、可能性和补救工作。
优先级 12
、18
和 27
是级别 1
- 这些倾向于高严重性,可能是问题更容易修复。
这样做的原因是,如果您按递减顺序解决问题,您的努力将获得最佳的“物超所值”。
关于c - C规则的风险评估汇总表是什么意思?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47544413/