스캐너 도구에서 경고 해석
검사 도구의 결과를 올바르게 해석하려면 다음과 같은 몇 가지 측면을 알고 있어야 합니다.
-
오검출 검사 결과에서 실제 양성으로 확인하는 것이 중요합니다. 이 도구는 검색하는 자동화된 방법이며 특정 취약성을 잘못 해석할 수 있습니다. 스캔 결과를 분류할 때, 일부 결과가 정확하지 않을 수 있음을 염두에 두십시오. 인간의 해석과 전문 지식에 의해 확립된 이러한 결과는
false positives라고 불립니다. 결과를 너무 빨리 가양성으로 선언해서는 안됩니다. 반면에 검사 결과는 100% 정확하게 보장되지 않습니다. -
보안 버그 표시줄 대부분의 경우 이러한
false positives중 일부인 많은 보안 취약성이 검색되지만 여전히 많은 결과가 발생합니다. 더 많은 발견사항은 일정한 시간과 비용이 주어진다면 처리되거나 완화될 수 있습니다. 이러한 경우 보안 위험이 소프트웨어를 프로덕션으로 전환할 수 있을 만큼 허용되기 전에 수정해야 하는 취약성 수준을 나타내는 보안 버그 표시줄이 있어야 합니다. 버그 표시줄은 처리해야 하는 사항과 시간과 리소스가 남아 있는 경우 수행할 수 있는 작업이 명확합니다.
도구 검사의 결과는 소프트웨어가 안정적으로 간주되고 완료되기 전에 수행해야 할 작업을 선택하는 기초가 됩니다.
완료 정의에서 보안 버그 표시줄을 설정하고 허용된 라이선스 등급을 지정하면 검사에서 보고서를 사용하여 개발 팀의 작업을 찾을 수 있습니다.