Interpretare gli avvisi dagli strumenti di analisi
Per interpretare correttamente i risultati degli strumenti di analisi, è necessario essere consapevoli di alcuni aspetti:
- Falsi positivi È essenziale verificare che i risultati siano veri positivi nei risultati dell'analisi. Gli strumenti offrono un modo automatizzato per eseguire l'analisi e potrebbero interpretare erroneamente vulnerabilità specifiche. Nella valutazione dei risultati dell'analisi, è necessario tenere presente che alcuni risultati potrebbero non essere corretti. Tali risultati vengono definiti
false positives, stabiliti dall'interpretazione umana e dalla competenza. Non è necessario dichiarare un risultato come un falso positivo troppo rapidamente. D'altra parte, non è garantita un'accuratezza al 100% dei risultati dell'analisi. - Barra dei bug di sicurezza Molto probabilmente verranno rilevate numerose vulnerabilità di sicurezza, alcune di queste saranno
false positives, ma pur sempre risultati. La maggior parte dei risultati possono essere gestiti o mitigati, se sono disponibili tempi e risorse sufficienti. In questi casi, deve essere presente una barra dei bug di sicurezza che indica il livello di vulnerabilità che deve essere risolto prima che i rischi per la sicurezza siano sufficientemente accettabili per portare il software nell'ambiente di produzione. La barra dei bug evidenzia gli elementi da prendere in considerazione e le azioni da intraprendere nei tempi e con le risorse necessari.
I risultati degli strumenti di analisi saranno la base per selezionare le attività da eseguire prima che il software sia considerato stabile e completato.
Impostando una barra dei bug di sicurezza nella definizione di Completato e specificando le classificazioni di licenza consentite, è possibile usare i report delle analisi per trovare le attività per il team di sviluppo.