审核29k行Drupal代码需要多长时间?

Bil*_*ill 2 security audit drupal

客户端询问需要多长时间来审核其长度为29k行的Drupal模块的安全性.有人知道我应该给他什么球场吗?他主要关心的是文件加密和用户权限.

pax*_*blo 8

不,不是一个该死的线索:-)

但是,无论你选择什么价值,我可以建议一件事吗?

监控你的进度!告诉您的客户您的初步估计是(例如)二十九个工作日,但这取决于您控制之外的许多因素.

告诉他们您计划通过提供每日进度快照来降低预算超支的风险:

  • 当前审计的行数[a].
  • 花了几天[b].
  • 当前"运行率"(每天的行数,平均值)[c = a/b].
  • 尚未审计的行数[d = 29,000 - a].
  • 预计完成天数[e = d/c].

如果运行速率远低于您的估计值,则允许他们随时拔下插头.

这个基本的项目管理/报告应该让他们相信你知道自己在做什么,并且会大大减少他们的曝光率,以至于他们会让你感觉更舒服.


就在上面的最后一个要点,你可能想考虑给他们一个范围(比如估计的+/- 5%),但是根据你最好和最差的日子做出最好和最差的情况不要太聪明至今.平均的力量在于它可以为您提供"最佳"猜测,而无需过多地使用数字.