Interpretace výstrah z nástrojů skeneru
Aby bylo možné správně interpretovat výsledky skenovacího nástroje, musíte mít na paměti některé aspekty:
- Falešně pozitivní výsledky Je nezbytné ověřit, že výsledky kontroly budou skutečně pozitivní. Nástroje jsou automatizovaným způsobem kontroly a můžou být nesprávně interpretovány konkrétní chyby zabezpečení. Při třídění výsledků hledání ve výsledcích kontroly byste měli vědět, že některá zjištění nemusí být správná. Takové výsledky jsou volána
false positives, zřízena lidskou interpretací a odbornými znalostmi. Jeden nesmí deklarovat výsledek falešně pozitivní příliš rychle. Na druhou stranu není zaručeno, že výsledky kontroly budou přesné 100 %. - Panel chyb zabezpečení s největší pravděpodobností zjistí mnoho ohrožení zabezpečení – některé z nich
false positives, ale stále mnoho zjištění. Další zjištění je často možné zpracovat nebo zmírnit, a to za určité množství času a peněz. V takových případech musí existovat panel chyb zabezpečení označující úroveň ohrožení zabezpečení, která musí být opravena před tím, než jsou rizika zabezpečení přijatelná pro převzetí softwaru do produkčního prostředí. Na panelu chyb se ujistěte, že je jasné, o co se musí postarat a co se může udělat, pokud čas a prostředky zůstanou.
Výsledky kontroly nástrojů budou základem pro výběr toho, co bude potřeba udělat před tím, než se software považuje za stabilní a dokončený.
Nastavením panelu chyb zabezpečení v definici hotovo a určením povolených hodnocení licencí můžete pomocí sestav z kontrol najít práci vývojového týmu.