漏洞管理模型包含一系列漏洞、详细描述、影响后果以及优先级等信息,漏洞管理模型工具主要利用优先级来关注漏洞问题的解决。

该工具与其他传统的漏洞分析系统的不同在于

(1)不再使用漏洞的严重等级;

(2)着重于从用户影响的角度看待问题。

致命漏洞(中断式漏洞)会直接导致项目立即崩溃的漏洞,也就意味着该漏洞的出现会中断产品上市进程。

一般来说,中断式漏洞的严重等级非常高,优先级也非常高,因为它会对用户产生非常大的负面影响,同时使用严重等级和优先级两种指标对漏洞进行衡量会使简单的事情复杂化。

在这两种指标值中,优先级要优于严重等级,因为优先级更侧重于漏洞对用户的影响,以及这种影响出现的频率。

而其他漏洞内容是与用户体验(先例除外)相关的,包括用户对自身使用体验的描述、漏洞对用户的影响、影响出现的频率、漏洞对企业技术支持部门产生的影响等。

当企业完成产品质量测试、各部门对测试结果进行审查之后,可将漏洞管理模型作为首选工具对漏洞进行修复。

这一过程一般由质检部门、项目管理层、产品管理团队和工程部门负责,有时客户服务部门也会参与其中。

当前的最优实践做法是由产品管理团队负责整个过程, 并最终决定优先解决哪种漏洞。

工程部门和质检部门可就修复和校验漏洞提供意见,可在一定程度上影响漏洞的优先级,但是最终还是要由产品管理团队做决定。

产品管理团队会依据漏洞优先级、人员配置、问题解决难度等综合分析考虑,决定具体实践中优先解决哪种漏洞,以实现团队工作效率的最大化。

直观图示

企业利用漏洞管理模型工具按照优先级对漏洞进行排序,漏洞名称使用超链接,指向漏洞数据库。用户优先级的定义标准在下图的下方作出了解释。

(1)问题概述、用户影响/用户体验描述都是从用户的角度出发的。

(2)影响发生频率指的是根据测试结果推断出问题可能发生的频率。

(3)先例则提供了类似漏洞的背景情况。

(4)表中最右一栏指出漏洞对技术支持部门(或其他技术支持工具)产生的预期后果影响。

(5)与其他漏洞修复工具相比,该模型的新颖之处在于,在整个漏洞修复过程中始终重视用户的意见。

下面列出了定义软件漏洞的用户优先级所常用的几种标准。

lP1:对用户体验或品牌有重大影响,并会影响产品上市(例如,程序频繁崩溃、数据丢失、锁屏等)。

lP2:对用户体验或品牌有较大影响,并会影响产品上市(例如,无解决方案的功能缺陷、程序有时崩溃、数据丢失等)。

lP3:对用户体验或品牌有中等程度的影响,应该在产品发布之前修复(例如,存在解决方案的功能缺陷等)。

lP4:对用户体验或品牌的影响有限,可在时间允许范围内修复(例如,化妆品的轻微颜色变化等)。

【卫朋】产品管理:如何做缺陷(漏洞)管理?_优先级

 

新颖之处

同时使用严重等级和优先级两种指标,容易使人混淆。

漏洞管理模型工具为软件开发团队提供了管理漏洞的较为新颖的方法,从用户的视角看待问题,避免使用严重等级等内部参数。在修复漏洞的过程中,相较于质检部门、工程部门来说,用户的意见更为重要。

工具优势

工具优势主要包括以下几个方面:

(1)十分关注用户体验,有助于企业生产出更好的产品。

(2)准确定位决策者的角色,从而减少了行政干预。

(3)由于团队将注意力放在了真正重要的事情上,资源利用率得到提高。

适用情形

企业需要具备一套高效的漏洞修复体系,才能生产出真正好的产品,最终从中获益。

一切都是为了服务用户,漏洞管理模型旨在从用户的视角审视产品中存在的漏洞,而修复、消除这些漏洞的过程也就是改善用户体验的过程。

在软件企业里,整个研发过程中最耗费时间的当属研发后期,以及产品上市前的早期测试阶段。

任何一种能够确定工作优先级、促使团队关注最关键任务的流程,或者能够明确职责、加速决策的流程,都无疑会显著提高工作效率。

漏洞修复周期具有重复性的本质,而这一本质会将流程的作用放大。

将工作重心放在用户身上,同时加快决策过程,这样会缩短产品上市时间,并设计生产出更好的产品。

其他注意事项

产品管理团队必须成为用户的合格代理人————他们不能将自己的观点带入漏洞管理过程,而应该仔细研究分析用户的反应。

工程部门和质检部门在评估漏洞优先级时也应该力求客观不能过度偏向于考虑修复漏洞所花费的时长,以免影响漏洞优先级的排序。

彩蛋:关注公Z号“产品人卫朋”,回复“产品干货”,便可领取以下资料:

1. 《精益画布》(word)

2. 《竞品画布》(word)

3. 《战略画布》(word)

4. 《产品需求文档》(word)

5. 《产品需求文档案例集》(4份)

6. 《竞品分析报告》(word)

7. 《竞品分析报告模板》(PDF)

8. 《一页纸项目管理模板》(5份)

卫朋

人人都是产品经理受邀专栏作家,资深技术博主。2020 年 8 月开始写产品相关内容,截至目前,人人都是产品经理单渠道阅读 44 万+,鸟哥笔记单渠道阅读 130 万+,单渠道阅读 190 万+,51CTO单渠道阅读 160 万+。

卫朋入选 2021 年人人都是产品经理年度最具影响力作者,光环国际学习社区首批原创者、知识合作伙伴,商业新知 2021 年度产品十佳创作者。

文章被人人都是产品经理、运营派、产品壹佰、鸟哥笔记、光环国际、商业新知等头部垂直类媒体转载。文章见仁见智,各位看官可策略性选择对于自己有用的部分。