Vorrei correre il rischio che questa domanda non possa essere risolta. L'argomento è troppo ampio e non specificato.
Un "difetto di sicurezza" è prima di tutto dominio e applicazione specifica. Un "difetto di sicurezza" in un'applicazione può essere considerato una "caratteristica" in un altro in un dominio totalmente non correlato (ad esempio, l'arresto non autenticato di un sistema è cattivo online in borsa, buono su una piattaforma petrolifera se la pompa è fuori controllo ).
Quindi non sappiamo come classificare i bug nel posto:)
Una buona soluzione potrebbe essere una valutazione del rischio basata su valutazioni del rischio che a sua volta si basa sulla tua specifica. Per questo, avresti bisogno di specialisti ("i ragazzi della sicurezza informatica") coinvolti nel progetto stesso. Sarebbe consigliabile coinvolgerli dall'offerta / fase di pianificazione iniziale, in modo da poter identificare potenziali insidie lungo il percorso durante lo sviluppo. Purtroppo, al giorno d'oggi la sicurezza viene sempre aggiunta durante le fasi successive o successive e quasi sempre comporta un sovraccarico non necessario a causa di ciò.
La cosa brutta della sicurezza è: una buona sicurezza è invisibile, quindi difficile da commercializzare / vendere; la mancanza di sicurezza d'altra parte è probabilmente devastantemente pessima.
E chiudo con un aneddoto proveniente da fonti segrete (presumibilmente originario di Amazon): il capo del dipartimento di sicurezza IT afferma nella riunione annuale di valutazione: "Non abbiamo avuto incidenti lo scorso anno, quindi vorremmo raddoppiare il nostro budget per il prossimo anno. "