Paweł Goleń, blog

W trakcie spotkania SPIN pojawiło się pytanie w jaki sposób można określić czas trwania/pracochłonność penetracyjnego testu bezpieczeństwa. Nie istnieje prosta formuła, która na wejściu dostaje “opis aplikacji” (cokolwiek to oznacza), a na wyjściu podaje ilość osobodni potrzebnych na wykonanie testu. W znacznym stopniu określenie pracochłonności (co wprost przekłada się na czas trwania testu) opiera się na doświadczeniu i wcześniej realizowanych projektach. Po rekonesansie w aplikacji (no niestety, bez tego każda “wycena pracochłonności” jest w zasadzie zgadywaniem) można porównać aplikację z wcześniej wykonywanymi testami – w szczególności istotną informacją jest jak długo w rzeczywistości trwał taki test. Warto zauważyć, że ten sposób określania harmonogramów “występuje w przyrodzie”: Evidence Based Scheduling (wielkie dzięki dla Tomka za to, że polecił mi kiedyś stronę Joel on Software).

Oryginał tego wpisu dostępny jest pod adresem Szacowanie czasu trwania testu: Evidence Based Scheduling

Autor: Paweł Goleń