Interpretar las alertas de las herramientas de examen
Para interpretar correctamente los resultados de las herramientas de examen, debe tener en cuenta algunos aspectos:
- Falsos positivos: es esencial comprobar que los resultados son positivos reales en los resultados del examen. Las herramientas son una manera automatizada de examinar y pueden interpretar de forma errónea vulnerabilidades específicas. Al clasificar los resultados del examen, debe tener en cuenta que es posible que algunos de ellos no sean correctos. Estos resultados se denominan
false positivesy se establecen mediante la experiencia y la interpretación humanas. No se debe declarar un resultado como falso positivo demasiado rápido. Por otro lado, no se garantiza que los resultados del examen sean 100 % precisos. - Barra de errores de seguridad: lo más probable es que se detecten muchas vulnerabilidades de seguridad, algunas de ellas serán
false positives, pero aun así habrá muchos resultados. A menudo, se pueden controlar o mitigar más resultados, dada una cantidad determinada de tiempo y dinero. En estos casos, debe haber una barra de errores de seguridad que indique el nivel de vulnerabilidades que se deben corregir para que los riesgos de seguridad sean lo suficientemente aceptables como para llevar el software a producción. La barra de errores asegura que están claros los aspectos de los que hay que encargarse y lo que se puede hacer si sobran tiempo y recursos.
Los resultados del examen de las herramientas serán la base para seleccionar el trabajo que queda por realizar antes de que el software se considere estable y listo.
Al establecer una barra de errores de seguridad en la definición de Hecho y especificar las clasificaciones de las licencias permitidas, se pueden usar los informes de los exámenes para buscar el trabajo del equipo de desarrollo.