Owasp vulnerability Management Guide (ovmg) June 1, 2020

OWASP Vulnerability Management Guide (OVMG) - June 1, 2020 
11 
 
# 
 
TO-DO 
 
 
WHY 
2.3.1
Use your organization’s 
ticketing system 
Remediation is essentially a work request. You should be able to comply with 
the existing work request process in use and track how long it takes to get the 
work done.
Important - some organizations have automated patching processes; 
it doesn’t 
mean that they are free from vulnerabilities. Thus, one could argue that the 
information security office acts as independent quality assurance by 
establishing a vulnerability management program. 
2.3.2
Provide a summary of the 
issue 
You want to be concise, to the point, and avoid adjectives other than relevant 
severity ratings: critical, high, severe, medium, moderate, or low. 
2.3.3
Provide tool-based output 
That would help to weed out the false positives or other errors. 
2.3.4
Notify/assign the issue/ticket 
to the responsible teams or 
individuals 
It is imperative to create a culture of accountability around remediation work. 
Assigning a person to a security issue may spark some political repercussions 
within an organization; you should be able to address the potential problems 
beforehand by communicating.
2.3.5
Make sure that your 
manager/CISO is aware 
Therefore, it is critical to have your management backing your actions. 
End Goal: create an audit trail for the remediation workload. Assign work or training to individuals who are responsible 
for vulnerability remediation (a code rewrite, a configuration fix, e.g.). 
2.4 
Reports 

Yüklə 1,27 Mb.

Dostları ilə paylaş: