漏洞管理模型包含一系列漏洞、详细描述、影响后果以及优先级等信息,漏洞管理模型工具主要利用优先级来关注漏洞问题的解决。
该工具与其他传统的漏洞分析系统的不同在于
(1)不再使用漏洞的严重等级;
(2)着重于从用户影响的角度看待问题。
致命漏洞(中断式漏洞)会直接导致项目立即崩溃的漏洞,也就意味着该漏洞的出现会中断产品上市进程。
一般来说,中断式漏洞的严重等级非常高,优先级也非常高,因为它会对用户产生非常大的负面影响,同时使用严重等级和优先级两种指标对漏洞进行衡量会使简单的事情复杂化。
在这两种指标值中,优先级要优于严重等级,因为优先级更侧重于漏洞对用户的影响,以及这种影响出现的频率。
而其他漏洞内容是与用户体验(先例除外)相关的,包括用户对自身使用体验的描述、漏洞对用户的影响、影响出现的频率、漏洞对企业技术支持部门产生的影响等。
当企业完成产品质量测试、各部门对测试结果进行审查之后,可将漏洞管理模型作为首选工具对漏洞进行修复。
这一过程一般由质检部门、项目管理层、产品管理团队和工程部门负责,有时客户服务部门也会参与其中。
当前的最优实践做法是由产品管理团队负责整个过程, 并最终决定优先解决哪种漏洞。
工程部门和质检部门可就修复和校验漏洞提供意见,可在一定程度上影响漏洞的优先级,但是最终还是要由产品管理团队做决定。
产品管理团队会依据漏洞优先级、人员配置、问题解决难度等综合分析考虑,决定具体实践中优先解决哪种漏洞,以实现团队工作效率的最大化。
企业利用漏洞管理模型工具按照优先级对漏洞进行排序,漏洞名称使用超链接,指向漏洞数据库。用户优先级的定义标