| 软件开发人员 |
想要管理他们对内部开发和第三方软件包多样化投资组合的软件保证期望,这些软件包的部署和安全操作对业务或任务很重要。 |
| 软件收购方 |
希望获得以合理的保证来获得第三方软件,即软件提供商在删除或避免对收购方最重要的业务和使命至关重要的弱点方面进行了尽职调查。相关利益相关者包括CIO,CSO,系统管理员和软件的最终用户。 |
| 代码分析供应商和顾问 |
想要为不同客户提供一致,社区审查的评分机制。 |
| 软件开发经理 |
通过定义自定义的“ top-n”列表,创建了从整个代码库中优先排序和删除整个弱点的策略,或者至少是被视为最有风险的部分。他们必须了解集成第三方软件的安全含义,这可能包含其自身的弱点。他们可能需要支持每个产品线和客户群的不同安全要求。 |
| 代码分析功能的评估者 |
评估代码分析技术的功能(例如NIST Samate)。他们可以使用一致的弱点评分机制来支持报告结果的采样,并了解这些发现的严重性,而无需依赖于可能因工具/技术而差异很大的临时评分方法。 |
| 其他利益相关者 |
包括脆弱性研究人员,安全开发的倡导者以及基于合规性的分析师(例如PCI DSS)。 |
