我发现很多人询问最好的工具,但没有人问你真正需要哪些功能?还有哪些功能是你从未真正需要的?
(我发现自己在比较各种工具的功能矩阵。这是我讨厌的事情,因为最终我只会使用其中3-4个最重要的功能,而其余的则被忽略不用。)
(我发现自己在比较各种工具的功能矩阵。这是我讨厌的事情,因为最终我只会使用其中3-4个最重要的功能,而其余的则被忽略不用。)
需求如下:
还有更多内容。
简单的最终用户数据输入。如果没有这个,你就不会有输入的错误,这等于毫无价值的错误工具。
以下是我认为最重要的三个必备功能:
我希望看到的功能:
1)投票 - 即这个漏洞影响了多少客户/用户?
2)严重性/优先级/其他 - 这些术语之间的区别微妙,通常(在我看来)不重要,但你必须知道这个漏洞有多重要。大多数工具都有这个功能,但过于复杂。
3)依赖关系 - 包括内部依赖(同一系统中的其他漏洞)和外部依赖(外部库、软件等)。实际上,大多数漏洞都有这个问题,但通常无法在数据库中表达,导致在分类时进行长时间而毫无意义的辩论。
我认为基本上没有意义的事情:
1)任何详尽的问卷 - 任何要求填写太多问题的漏洞跟踪器都只会得到糟糕的数据。这比没有数据还糟糕。
2)有争议的、但强制性的每日/每周/其他电子邮件通知。它们只会被归类为垃圾邮件/忽略/过滤掉。如果开发人员应该修复漏洞,但没有这样做,那就是管理问题。软件无法解决这个问题。