web-dev-qa-db-ja.com

安全な開発コスト

関連するコスト/労力に関して安全な開発プロセス(SDLなど)を実装した企業から、どのケーススタディまたはリファレンスが利用可能か。

各開発部門はユニークなケースである可能性が高いですが、スコーピングに多くの時間を費やす前にプログラムのコストがどのくらいになるかを大まかに理解することは依然として重要です。

この最近の記事 これにリンクしている Aberdeenグループ これは、いくつかの興味深い情報とこの参照があるように見えます ここ 。それは少し学術的で公式が重いですが、いくつかの興味深い情報

20
Rory McCune

本「IT Security Metrics」の公式を使用すると、ポアソン分布を使用して、四半期ごとの予測可能なインシデント数に一致するアプリケーションセキュリティの専門家を組織に配置できます。給与については年間10万米ドル(ほとんどの場合、ビジネスの利益とコストのために2倍)、3つの商用SASTについては年間18万米ドル、1つのDAST(1人あたり)については年間25,000米ドルと計算できます。人とツールは非常に高価です。保護しようとしている資産の37%以上を費やしていないことを確認してください。送信するVeracodeのコストは、アプリごとに約5〜6千米ドル(アプリは100MBのパッケージサイズで増加)であり、競合他社の価格もこの数字と大きく異なることはありません。

通常の情報セキュリティで使用されているような概算を使用したい場合は、ガートナーが承認した「6〜7%」のIT資産の合計の公式があります。アプリケーションのセキュリティについては、組織のアプリケーション開発資産に対してこれらの数値を適用するだけです。

9
atdre