Pensando en las métricas de seguridad del software actualmente, he pensado en las siguientes métricas de seguridad del software:
- número / tipo de CWE detectado por los desarrolladores (informe de errores)
- número / tipo de CWE detectado por análisis estático
- número / tipo de advertencia en tiempo de compilación (es decir, desde el protector de pila / fuente fortificada)
- número / tipo de (presumido) pérdidas de memoria (ejecutando software bajo valgrind o lo que sea)
- número / tipo de llamadas de función no seguras (sprintf en lugar de sNprintf)
Ahora las preguntas:
- ¿Qué otras métricas de seguridad del software sugiere?
- ¿Existe una referencia de vanguardia sobre este tema?
Pude encontrar solo métricas de seguridad en TI pero no en software (desarrollo de software).
Los objetivos son medir y tener una visión general de qué tan buenos / buenos son los softwares desarrollados y medir dónde aumentan / disminuyen los esfuerzos en las prácticas de desarrollo de software seguro o cómo / donde el proceso de seguridad necesita algunos cambios.