使用“IT 安全指标”一书中的公式，您可以为您的组织配备应用程序安全专业人员，这些专业人员使用泊松分布与每季度可预测的事件数量相匹配。您可以计算出每年 10 万美元的工资（在大多数情况下由于福利和业务成本而翻倍），每年 18 万美元用于 3 个商业 SAST 和 25k 美元每年用于 1 个 DAST（每人）。人员和工具非常昂贵。确保您花费的资产不超过您试图保护的资产的 37%。请记住，您发送的每个应用程序（应用程序以 100MB 包大小增量）的 Veracode 成本约为 5-6k 美元——而竞争对手的定价也与该数字相差不远。

如果您想使用近似值，例如常规信息安全中使用的近似值，可以使用 Gartner 批准的“IT 总资产的 6-7%”公式。对于应用程序安全性，您只需将这些数字应用于组织的应用程序开发资产。