Информационная панель

Информационная панель содержит сводные графики (виджеты) по уязвимостям за выбранный период. Данные обновляются раз в сутки.

На информационной панели доступны следующие виджеты:

• Кумулятивный график выявленных уязвимостей;
• Общее количество открытых уязвимостей;
• Наиболее распространенные открытые уязвимости;
• Наиболее распространенные критические и высокие уязвимости;
• Самые уязвимые проекты;
• Среднее время выявления дефекта ИБ;
• Метрики безопасности;
• Коэффициент частоты сканирования;
• Количество уязвимостей;
• Среднее время жизни дефекта ИБ;
• Процент устраненных уязвимостей;
• Количество дубликатов уязвимостей;
• Количество False-positive;
• Среднее время исправления дефекта ИБ;
• Плотность риска;
• Интегральный риск-индекс.

Кумулятивный график выявленных уязвимостей

Этот виджет отображает динамику выявления уязвимостей за выбранный период времени с возможностью анализа изменения общего количества проблем безопасности.

Общее количество открытых уязвимостей

Этот виджет показывает общее количество выявленных уязвимостей с распределением по уровням критичности и статусам.

Наиболее распространенные открытые уязвимости

Этот виджет отображает количество незакрытых проблем безопасности, требующих обработки или устранения.

Наиболее распространенные критические и высокие уязвимости

Этот виджет показывает список наиболее критичных проблем безопасности с высоким уровнем риска и приоритетом устранения.

Самые уязвимые проекты

Этот виджет отображает проекты с наибольшим количеством выявленных проблем безопасности за выбранный период.

Среднее время выявления дефекта ИБ

Этот виджет показывает среднее время между появлением проблемы безопасности и её обнаружением средствами анализа.

Метрики безопасности

Этот виджет отображает ключевые показатели эффективности процессов безопасной разработки и обработки проблем безопасности.

Коэффициент частоты сканирования

Этот виджет показывает интенсивность выполнения проверок безопасности и частоту запуска сканирований в проектах.

Количество уязвимостей

Этот виджет отображает общее количество выявленных проблем безопасности за выбранный период.

Среднее время жизни дефекта ИБ

Этот виджет показывает медианное время существования проблемы безопасности от момента обнаружения до закрытия.

Процент устраненных уязвимостей

Этот виджет отображает отношение количества закрытых проблем безопасности к общему числу выявленных уязвимостей.

Количество дубликатов уязвимостей

Этот виджет показывает количество проблем безопасности, определённых системой как дублирующиеся.

Количество False-positive

Этот виджет отображает количество ложноположительных уязвимостей.

Среднее время исправления дефекта ИБ

Этот виджет показывает среднее время, затрачиваемое на устранение проблем безопасности.

Плотность риска

Этот виджет отображает концентрацию проблем безопасности относительно объема анализируемого приложения или проекта.

Интегральный риск-индекс

Этот виджет показывает сводный показатель уровня риска проекта с учетом критичности и количества выявленных уязвимостей.

Формулы расчетов показателей

Покрытие практиками безопасной разработки

Показатель степени покрытия практиками безопасной разработки рассчитывается по следующей формуле:

$$Coverage\% = \frac{ \text{Количество систем с применением практик} }{ \text{Общее количество систем} } \times 100$$

Плотность риска (M)

Показатель плотности риска рассчитывается по следующей формуле:

$$M = \frac{ C_{\text{крит}} \cdot W_{\text{крит}} + C_{\text{хай}} \cdot W_{\text{хай}} + C_{\text{медиум}} \cdot W_{\text{медиум}} + C_{\text{лоу}} \cdot W_{\text{лоу}} + C_{\text{неопредел}} \cdot W_{\text{неопредел}} }{ C_{\text{все}} }$$

где:

• $C_{\text{крит}}$ — количество критических уязвимостей в проекте;
• $C_{\text{хай}}$ — количество уязвимостей высокого уровня в проекте;
• $C_{\text{медиум}}$ — количество уязвимостей среднего уровня в проекте;
• $C_{\text{лоу}}$ — количество уязвимостей низкого уровня в проекте;
• $C_{\text{неопредел}}$ — количество уязвимостей с неопределенным уровнем критичности в проекте;
• $W_{\text{крит}}$, $W_{\text{хай}}$, $W_{\text{медиум}}$, $W_{\text{лоу}}$, $W_{\text{неопредел}}$ — весовые коэффициенты для каждого уровня критичности;

Примечание: $W_{\text{крит}} = 1.0$, $W_{\text{хай}} = 0.8$, $W_{\text{медиум}} = 0.5$, $W_{\text{лоу}} = 0.2$, $W_{\text{неопредел}} = 0.3$

• $C_{\text{все}}$ — общее количество уязвимостей в проекте.

Показатель $C_{\text{все}}$ рассчитывается по следующей формуле:

$$C_{\text{все}} = C_{\text{крит}} + C_{\text{хай}} + C_{\text{медиум}} + C_{\text{лоу}} + C_{\text{неопредел}}$$

Интегральный риск-индекс

Показатель интегрального риск-индекса рассчитывается по следующей формуле:

$$R = \sqrt[3]{H \cdot V \cdot L}$$

где:

• $H$ — плотность риска;
• $V$ — коэффициент частоты сканирования;
• $L$ — коэффициент времени исправления.

Коэффициент V

Коэффициент V (частоты сканирования) рассчитывается по следующей формуле:

$$V = \frac{ F_{\text{проект}} - F_{\text{мин}} }{ F_{\text{макс}} - F_{\text{мин}} }$$

где:

• $F_{\text{проект}}$ — частота сканирования в проекте.
• $F_{\text{мин}}$ — минимальная частота сканирования среди всех проектов.
• $F_{\text{макс}}$ — максимальная частота сканирования среди всех проектов.

Формула нормирует частоту сканирования проекта относительно минимального и максимального значений по всем проектам. Значение коэффициента $V$ находится в диапазоне от 0 до 1:

• значение, близкое к 0, соответствует низкой частоте сканирования;
• значение, близкое к 1, соответствует высокой частоте сканирования.

Коэффициент времени исправления и идентификации дефектов L

Этот коэффициент оценивает скорость устранения уязвимостей относительно медианного значения и рассчитывается по следующей формуле:

$$L = \frac{ MTTR_{\text{текущая}} + MTTD_{\text{текущая}} }{ MTTR_{\text{медианная}} + MTTD_{\text{медианная}} }$$

где:

• $MTTR_{\text{текущая}}$ — среднее время исправления уязвимости (Mean Time To Resolve).
• $MTTD_{\text{текущая}}$ — среднее время обнаружения уязвимости (Mean Time To Detect).
• $MTTR_{\text{медианная}}$ — медианное время исправления уязвимостей по всем проектам.
• $MTTD_{\text{медианная}}$ — медианное время обнаружения уязвимостей по всем проектам.

Коэффициент $L$ отражает отклонение времени обработки дефектов от медианных значений:

• значение $L < 1$ означает, что проект исправляет и обнаруживает уязвимости быстрее медианного значения;
• значение $L = 1$ соответствует медианному уровню;
• значение $L > 1$ означает, что обработка уязвимостей выполняется медленнее медианного значения.

Прочие показатели

Процент устраненных уязвимостей

Этот показатель рассчитывается, как отношение количества закрытых уязвимостей к общему числу уязвимостей в проекте.

Среднее время нахождения в определенном статусе

Показатель среднего времени нахождения в определенном статусе рассчитывается как медианное время нахождения в каждом статусе в целочисленном формате часов.

Среднее время жизни дефекта (Lead Time)

Значение среднего времени жизни дефекта рассчитывается как медианное время жизни дефекта, т.е. от статуса Новый (New) до любого закрытого статуса (например, Fixed).

Среднее время идентификации (MTTD)

Показатель среднего времени идентификации рассчитывается как медианное время идентификации дефектов в проекте/проектах. Под идентификацией дефекта подразумевается изменение статуса от Новый (New) до любого другого следующего статуса.

Среднее время исправления (MTTR)

Показатель среднего времени исправления рассчитывается как медианное время от открытого статуса, отличного от Новый (New) до закрытого статуса.