Interpretar alertas de herramientas de análisis
Para interpretar correctamente los resultados de las herramientas de análisis, debe tener en cuenta algunos aspectos:
-
falsos positivos Es esencial verificar que los hallazgos sean positivos reales en los resultados del escaneo. Las herramientas son una forma automatizada de examinar y podrían mal interpretar vulnerabilidades específicas. En el triaje de los hallazgos en los resultados del examen, debe tener en cuenta que es posible que algunos hallazgos no sean correctos. Estos resultados se denominan
false positives, establecidos por la interpretación humana y la experiencia. Uno no debe declarar un resultado falso positivo demasiado rápido. Por otro lado, no se garantiza que los resultados del escaneo sean 100% precisos. -
barrera de errores de seguridad Lo más probable es que se detecten muchas vulnerabilidades de seguridad, algunas de estas
false positives, pero aún así habrá numerosos hallazgos. A menudo, se pueden controlar o mitigar más hallazgos, dada una cierta cantidad de tiempo y dinero. En tales casos, debe haber una barra de errores de seguridad que indique el nivel de vulnerabilidades que se deben corregir antes de que los riesgos de seguridad sean aceptables para llevar el software a producción. La barra de defectos asegura que quede claro qué se debe atender y lo que se podría hacer si hay tiempo y recursos disponibles.
Los resultados del examen de herramientas serán la base para seleccionar el trabajo que queda por hacer antes de que el software se considere estable y hecho.
Al establecer una barra de errores de seguridad en la definición de Listo y especificar las clasificaciones de licencia permitidas, puede usar los informes de los exámenes para encontrar el trabajo del equipo de desarrollo.