问安全评估v/s安全接触崩溃

EN

我在这里有几条线索，其中谈到了安全评估v/s风险评估，但这里的想法完全不同。假设我必须把定性的任务从定量的任务中分解出来，我最终会打破这些任务。

我想出了这个模型，想知道我是否走上了正确的道路，以便更好地理解它们。这是我的模型：

1. 我把“安全性”分为定量分析和定性分析两种。
2. 我再次将它们分解成我通过WWW发现的特定任务。

特别是第一部分，即“安全评估”更适合于定量任务，而“安全任务”则更倾向于定性任务。我现在就是这样看的：

1. 安全评估
   • 风险评估
   • 威胁评估
   • 安全依从

2. 安全接触
   • 代码评审
   • 脆弱性评估
   • 渗透试验
   • 红队环境

第一个指标编制了所有的评估和顺应性，第二个指标更多的是采取防御+进攻的方法来“质量”测试第一个指针中获取的风险。防御性的是代码审查和脆弱性评估，因为组织是从防御的角度来参与进来的，而后两者则是进攻性的，因为这是在挑战审计师寻找漏洞、突破和实际利用。

在这一点上，我的问题是，所有的这个概念都是真实的，或者我错过了什么，因为有更多的条件！？