咨询大伙儿1个情形，倘若，漏洞被挖掘了，修补好了，能给公司省多少费用，这一使用价值能量化吗？换个角度来看，漏洞并没有被挖掘，会给公司产生多少钱经济损失，这一使用价值又能被细化吗？假如能的情况下，有什么指标值能够 参照呢？漏洞存有是安全风险，不一定会被攻击。攻击是危害，才可以用使用价值经济损失估算。仅有当产生了经济损失，才可以去分析，通常公司没法细化。这也是安全基本建设，为什么常常是量化策略。能参照各个厂商漏洞的奖金新政不？漏洞奖金新政和漏洞使用价值是两码事，例如你给我个smb的rce，我给你一千W，你给微软公司微软能给大家多少钱？最高二十W刀。你能够说这一漏洞使用价值仅有二十W刀？换一个事例solarwinds弱口令倘若有src，你递交给他们，给大家算多少钱使用价值？一千刀？实际这一弱口令事后的导致的经济损失使用价值早已过亿刀了，没有办法细化。攻防实战演练实际上 也是处理漏洞使用价值不太好分析的情形产生的行动，把漏洞转变成为管理权限无法控制、数据泄漏、高层领导隐私泄露、商业机密泄漏安全风险。在认证充分的情形下，漏洞检测链越进一步越易于造成领导层针对安全风险的认知，易于引起增加资金投入的管理决策。

漏洞修复资金投入roi的估算，实际上 是一个很悠久过去的风险评定的情形，根据本人的经历能够 分两层面看：

（1）院派，漏洞检测几率（运用成本费用，公司资产爆漏面等原因危害）乘于资产使用价值。能够 实际细化出1个洞在一个公司里如果不修补较大 的经济损失。

（2）实操派，1个公司所处环节不一样，1个洞的危害使用价值不一样，创业初期的公司，安全莽荒，1个RCE类漏洞例如java反序列化，通常能够 直接打爆1个企业网，因此 这个时候修补这类洞的ROI十分高；可是1个健全公司，安全管理体系健全，某一洞被运用，未必能导致洞穿等级危害，ROI很难看出来，就须要根据viking讲的，对战实战演练，社工等整体方式来考量应对高级别敌人、运用哪种攻击组合策略和技巧，公司应当在哪儿提升资金投入，而不单单是一个洞的修补ROI分析。