Interpretowanie alertów z narzędzi skanera
Aby poprawnie interpretować wyniki skanowania narzędzi, należy pamiętać o niektórych aspektach:
- Wyniki fałszywie dodatnie Należy sprawdzić, czy wyniki są prawdziwe dodatnie w wynikach skanowania. Narzędzie to zautomatyzowany sposób skanowania i może źle interpretować określone luki w zabezpieczeniach. W klasyfikacji wyników skanowania należy pamiętać, że niektóre ustalenia mogą nie być poprawne. Takie wyniki są określane
false positivesprzez ludzką interpretację i wiedzę fachową. Nie wolno deklarować wyniku zbyt szybko. Z drugiej strony wyniki skanowania nie mają gwarancji, że będą dokładne 100%. - Pasek usterek zabezpieczeń Najprawdopodobniej zostanie wykrytych wiele luk w zabezpieczeniach — niektóre z nich
false positives, ale nadal wiele wyników. Więcej ustaleń można często obsługiwać lub ograniczać, biorąc pod uwagę pewien czas i pieniądze. W takich przypadkach musi istnieć pasek usterek zabezpieczeń wskazujący poziom luk w zabezpieczeniach, które muszą zostać naprawione, zanim zagrożenia bezpieczeństwa będą wystarczająco akceptowalne, aby oprogramowanie było w środowisku produkcyjnym. Pasek usterki zapewnia, że jest jasne, co należy dbać i co można zrobić, jeśli czas i zasoby zostaną pozostawione.
Wyniki skanowania narzędzi będą podstawą wyboru, jakie prace należy wykonać, zanim oprogramowanie zostanie uznane za stabilne i wykonane.
Ustawiając pasek błędów zabezpieczeń w definicji gotowej i określając dozwolone klasyfikacje licencji, można użyć raportów ze skanów, aby znaleźć pracę dla zespołu deweloperów.