EPSS与风险评分策略治理（权重-阻断-灰度）最佳实践

YBB 33 阅读 0 评论 0 点赞

实现示例

type Advisory = { cve: string; cvss: number; epss: number }
type Policy = { wCvss: number; wEpss: number; block: number; warn: number }

function validCvss(s: number): boolean { return s >= 0 && s <= 10 && Number.isFinite(s) }
function validEpss(p: number): boolean { return p >= 0 && p <= 1 && Number.isFinite(p) }

function score(a: Advisory, p: Policy): number { return a.cvss * p.wCvss + a.epss * 10 * p.wEpss }

function evaluate(list: Advisory[], p: Policy): { blocked: Advisory[]; warned: Advisory[]; passed: Advisory[] } {
  const blocked: Advisory[] = []
  const warned: Advisory[] = []
  const passed: Advisory[] = []
  for (const a of list) {
    if (!validCvss(a.cvss) || !validEpss(a.epss)) { blocked.push(a); continue }
    const s = score(a, p)
    if (s >= p.block) blocked.push(a)
    else if (s >= p.warn) warned.push(a)
    else passed.push(a)
  }
  return { blocked, warned, passed }
}

审计与CI门禁

记录风险分与决策；阻断项直接失败；警告项进入灰度窗口处置。
权重与阈值变更需审批并回归验证。

点赞(0) 打赏

本文分类：开发实践
本文标签：供应链安全安全治理风险评估 EPSS 风险评分权重阈值灰度
浏览次数：33 次浏览
发布日期：2026-03-08 00:40:51
本文链接：https://www.ybb.press/development-practices/1180.html

上一篇 > Envoy 本地限流与外部 RLS 配置实战
下一篇 > FedCM 登录实战：隐私保护的第三方账号接入

EPSS与风险评分策略治理（权重-阻断-灰度）最佳实践

评论列表共有 0 条评论

发表评论取消回复

EPSS与风险评分策略治理（权重-阻断-灰度）最佳实践

Kubernetes镜像拉取准入控制治理（Admission-签名-白名单）最佳实践

ESM-CJS双包危害治理（type-main-module-exports一致性）最佳实践

CocoaPods依赖与Podfile.lock治理（Specs-源-校验）最佳实践

NuGet包来源与签名治理（sources-签名-哈希）最佳实践

评论列表 共有 0 条评论

发表评论 取消回复

评论列表共有 0 条评论

发表评论取消回复