漏洞严重性标签的常见做法是什么？

#1 楼

标签只是标签。

了解其背后的意义更为重要，因此人们可以轻松地说出何时为漏洞分配特定的严重性，并了解这种严重性对业务的影响。这很重要，因为根据严重性*，您的涉众可能会采取适当的措施。例如。停止发布产品或推迟修复错误。例如，当整个系统由于该错误而无法正常工作时，我们定义Sev 1；而当其中一个重要功能失效时，我们定义Sev 2。在发行版中，我们通常不接受Sev 1和Sev 2，而Sev 3需要进一步讨论。

*显然，这是简化。严重性可能不足以做出明智的决定，因此错误报告的其他部分可以帮助做出决定。

#2 楼

我经常看到并历来使用的评级是：


严重性1-严重问题，崩溃或数据丢失
严重性2-严重问题，但没有崩溃或数据丢失，没有解决方法
严重性3-问题，没有崩溃或数据丢失，并且存在解决方法。
严重性4-解决完成问题。

需要做出的主要决定每个错误的发生原因是“由于这个错误，我们是否要保留该软件的发布？”。如果是，则为1或2，否则为3或4。

在具有成百上千个bug的大型项目中，您还需要添加优先级以允许业务利益相关者选择修复顺序。通常也获得1-4的评分：


优先级1-严重，请停止所有操作并尽快修复。
优先级2-高，请在下一个发行版发布之前进行修复测试。
优先级3-中，在发布之前进行修复。
优先级4-低，如果有时间修复，但可以移至下一个版本。

使用此系统在适当的位置，严重性是由测试人员设置的技术影响，无法更改。优先级可能会在项目的整个生命周期中发生变化，尤其是对于优先级3的错误，当它们随着交付截止日期的临近而降至优先级4时。如果它们仅在非常罕见的情况下发生。

#3 楼

我喜欢使用以下内容：


岩石
岩石
砾石
沙

形象地看到每个落在你头上的...

该系统的优点在于，您还可以看到一卡车倾倒在头上的沙子。即使系统可能没有大问题，但太多小问题也可能使它无法使用。

#4 楼

我的5美分


阻止程序：该缺陷影响关键功能或关键数据。
没有解决方法。示例：无法登录，无法上传
数据，

严重：该缺陷影响主要功能或主要数据。它有解决方法，但不明显，而且很困难。示例：所有
例外，安全错误

次要问题：该缺陷影响次要功能或非关键数据。示例：打开意外页面

意外：缺陷不会影响功能或数据。
甚至不需要解决方法。它不会影响生产力或
效率。这仅仅是一个不便。例如：小布局
差异，拼写/语法错误。

#5 楼

任何标签的重要性都取决于您对它的重视程度。这只是一个标签，而不是法律。没有特定的标准。

标记错误严重性的最适当做法是与您的项目团队坐下来，然后决定？


您有什么建议？
他们想对您的建议进行任何更改吗？
他们是否有更好的选择/建议可以接受？

您可以用任何方法做到，


数字
字母词
颜色代码

或者任何您可以想到的另一件事。

错误严重性仅用于传达以下信息：错误严重影响软件的重要性，需要立即修复或在之后对其进行处理其他优先级修复。仅当团队和您使用大家都理解的系统时，此信息才能最有效地传达。

#6 楼

我认为，最常见的分类是A-B-C，最终是A-B-C-D。理想情况下，应该对所有利益相关者都同意的每种严重性进行描述。例如，可能是这样的：

严重性A或“严重”：在应用程序发布到生产环境之前需要修复的缺陷。应用程序的某些部分根本无法正常工作，否则可能导致业务或财务损失。没有解决方法。

严重性B或“严重”：如果缺陷进入生产，则会导致与业务需求的极大偏差。

严重性C或“中等”：如果发布到生产中，缺陷会导致与业务需求的最小偏差。 ：如果缺陷投入生产，则不会偏离业务需求。它可以是静态文本，颜色等。

此外，可以将bug归类为Showstopper。这意味着测试人员无法继续进行测试。通常，topstopper的严重性为A，但视情况而定可能是情人的严重性。

#7 楼

为什么不只是两个级别：现在或以后。现在意味着现在就解决它，就像您去午餐/回家之前一样。以后意味着您的老板将其保留在他的清单上，直到有太多事情以后才发生，然后它实际上成为了其他人的问题，因为需要另一个“发现”来将错误/不便重新引入“现在或以后”的决定中。

如果有什么烦人或不便之处，但分配了LATER标签，它本身不会造成问题，但是其中的足够多的人会迫使收藏的一部分进入NOW。