Информационная панель
Информационная панель содержит сводные графики (виджеты) по уязвимостям за выбранный период. Данные обновляются раз в сутки.
На информационной панели доступны следующие виджеты (графики):
- Кумулятивный график;
- Открытые уязвимости;
- Наиболее распространенные открытые уязвимости;
- Наиболее распространенные критические и высокие уязвимости;
- Наиболее уязвимые проекты;
- Среднее время выявления дефекта ИБ;
- Метрики;
- Количество уязвимостей;
- Среднее время жизни дефекта ИБ;
- Процент устраненных уязвимостей;
- Количество дубликатов;
- Количество False-positive;
- Среднее время исправления дефекта ИБ;
- Плотность риска;
- Интегральный риск-индекс;
- Частота проведения сканирования;
- Проблемы по инструментам безопасности;
- Проблемы выбранного инструмента.

Следующие графики являются кумулятивными (т.е. значения в них увеличиваются с течением времени):
- Среднее время жизни дефекта ИБ;
- Среднее время выявления дефекта ИБ;
- Среднее время исправления дефекта ИБ;
- Наиболее распространенные критические и высокие уязвимости;
- Интегральный риск-индекс;
- Частота проведения сканирования;
- Процент устраненных уязвимостей;
- Плотность риска;
- Количество False-positive;
- Количество уязвимостей;
- Количество дубликатов.
Кумулятивные графики получают данные из общего кэша, не привязанного к отдельному пользователю. Чтобы исключить избыточную нагрузку на систему при частых запросах на обновление, в системе реализована задержка между обновлениями данных в кэше. Значение задержки и параметр, определяющий режим обновления данных в реальном времени, устанавливаются в переменных окружения (по умолчанию параметр активен).
В зависимости от значения параметра кумулятивные графики работают в одном из двух режимов обновления:
- при включенном параметре данные обновляются в режиме реального времени с учетом заданной задержки между обновлениями;
- при отключенном параметре данные обновляются один раз в сутки, в 00:00 по серверному времени. Актуальное серверное время устанавливается с учетом часового пояса пользователя и UTC.
Кумулятивный график
Этот виджет отображает динамику выявления уязвимостей за выбранный период времени с возможностью анализа изменения общего количества проблем безопасности.

Открытые уязвимости
Этот виджет показывает общее количество выявленных уязвимостей с распределением по уровням критичности и статусам.

Наиболее распространенные открытые уязвимости
Этот виджет отображает количество незакрытых проблем безопасности, требующих обработки или устранения.

Наиболее распространенные критические и высокие уязвимости
Этот виджет показывает список наиболее критичных проблем безопасности с высоким уровнем риска и приоритетом устранения.

Наиболее уязвимые проекты
Этот виджет отображает проекты с наибольшим количеством выявленных проблем безопасности за выбранный период.

Среднее время выявления дефекта ИБ
Этот виджет показывает среднее время между появлением проблемы безопасности и её обнаружением средствами анализа.

Метрики
Этот виджет отображает ключевые показатели эффективности процессов безопасной разработки и обработки проблем безопасности.

Количество уязвимостей
Этот виджет отображает общее количество выявленных проблем безопасности за выбранный период.
Среднее время жизни дефекта ИБ
Этот виджет показывает медианное время существования проблемы безопасности от момента обнаружения до закрытия.

Процент устраненных уязвимостей
Этот виджет отображает отношение количества закрытых проблем безопасности к общему числу выявленных уязвимостей.
Количество дубликатов
Этот виджет показывает количество проблем безопасности, определённых системой как дублирующиеся.
Количество False-positive
Этот виджет отображает количество ложноположительных уязвимостей.
Среднее время исправления дефекта ИБ
Этот виджет показывает среднее время, затрачиваемое на устранение проблем безопасности.

Плотность риска
Этот виджет отображает концентрацию проблем безопасности относительно объема анализируемого приложения или проекта.
Интегральный риск-индекс
Этот виджет показывает сводный показатель уровня риска проекта с учетом критичности и количества выявленных уязвимостей.
Частота проведения сканирования
Этот виджет показывает интенсивность выполнения проверок безопасности и частоту запуска сканирований в проектах.
Проблемы по инструментам безопасности
Этот виджет показывает общее количество уязвимостей, обнаруженных с помощью выбранных инструментов безопасности.

Проблемы выбранного инструмента
Этот виджет показывает общее количество уязвимостей, обнаруженных с помощью одного выбранного инструмента безопасности.

Формулы расчетов показателей
Покрытие практиками безопасной разработки
Показатель степени покрытия практиками безопасной разработки рассчитывается по следующей формуле:
Плотность риска (M)
Показатель плотности риска рассчитывается по следующей формуле:
где:
- — количество критических уязвимостей в проекте;
- — количество уязвимостей высокого уровня в проекте;
- — количество уязвимостей среднего уровня в проекте;
- — количество уязвимостей низкого уровня в проекте;
- — количество уязвимостей с неопределенным уровнем критичности в проекте;
- , , , , — весовые коэффициенты для каждого уровня критичности;
Примечание: , , , ,
- — общее количество уязвимостей в проекте.
Показатель рассчитывается по следующей формуле:
Интегральный риск-индекс
Показатель интегрального риск-индекса рассчитывается по следующей формуле:
где:
- — плотность риска;
- — коэффициент частоты сканирования;
- — коэффициент времени исправления.
Коэффициент V
Коэффициент V (частоты сканирования) рассчитывается по следующей формуле:
где:
- — частота сканирования в проекте.
- — минимальная частота сканирования среди всех проектов.
- — максимальная частота сканирования среди всех проектов.
Формула нормирует частоту сканирования проекта относительно минимального и максимального значений по всем проектам. Значение коэффициента находится в диапазоне от 0 до 1:
- значение, близкое к 0, соответствует низкой частоте сканирования;
- значение, близкое к 1, соответствует высокой частоте сканирования.
Коэффициент времени исправления и идентификации дефектов L
Этот коэффициент оценивает скорость устранения уязвимостей относительно медианного значения и рассчитывается по следующей формуле:
где:
- — среднее время исправления уязвимости (Mean Time To Resolve).
- — среднее время обнаружения уязвимости (Mean Time To Detect).
- — медианное время исправления уязвимостей по всем проектам.
- — медианное время обнаружения уязвимостей по всем проектам.
Коэффициент отражает отклонение времени обработки дефектов от медианных значений:
- значение означает, что проект исправляет и обнаруживает уязвимости быстрее медианного значения;
- значение соответствует медианному уровню;
- значение означает, что обработка уязвимостей выполняется медленнее медианного значения.
Прочие показатели
Процент устраненных уязвимостей
Этот показатель рассчитывается, как отношение количества закрытых уязвимостей к общему числу уязвимостей в проекте.
Среднее время нахождения в определенном статусе
Показатель среднего времени нахождения в определенном статусе рассчитывается как медианное время нахождения в каждом статусе в целочисленном формате часов.
Среднее время жизни дефекта (Lead Time)
Значение среднего времени жизни дефекта рассчитывается как медианное время жизни дефекта, т.е. от статуса Новый (New) до любого закрытого статуса (например, Fixed).
Среднее время идентификации (MTTD)
Показатель среднего времени идентификации рассчитывается как медианное время идентификации дефектов в проекте/проектах. Под идентификацией дефекта подразумевается изменение статуса от Новый (New) до любого другого следующего статуса.
Среднее время исправления (MTTR)
Показатель среднего времени исправления рассчитывается как медианное время от открытого статуса, отличного от Новый (New) до закрытого статуса.