Interpretar alertas de ferramentas de exame
Para interpretar corretamente os resultados das ferramentas de exame, você precisa conhecer alguns aspectos:
- Falsos positivos É essencial verificar se as descobertas são realmente positivas nos resultados do exame. As ferramentas são uma maneira automatizada de examinar e podem estar interpretando incorretamente vulnerabilidades específicas. Ao verificar os resultados do exame, você deve estar ciente de que algumas descobertas podem não estar corretas. Esses resultados são chamados de
false positives, estabelecidos pela interpretação humana e pela experiência. Não se deve declarar um resultado como falso positivo com muita rapidez. Por outro lado, não há garantia de que os resultados do exame sejam 100% precisos. - Barra de bugs de segurança O mais provável é que muitas vulnerabilidades de segurança sejam detectadas, algumas delas
false positives, mas ainda muitas descobertas. Muitas vezes, mais descobertas podem ser tratadas ou atenuadas, empregando-se certa quantidade de tempo e dinheiro. Nesses casos, deve haver uma barra de bugs de segurança indicando o nível de vulnerabilidades que devem ser corrigidas para que os riscos de segurança sejam aceitáveis o suficiente para colocar o software em produção. A barra de bugs garante o esclarecimento do que deve e o que pode ser feito se houver tempo e recursos.
Os resultados do exame de ferramentas serão a base para selecionar o trabalho a ser feito para que o software seja considerado estável e concluído.
Ao estabelecer uma barra de bugs de segurança na Definição de Concluído e especificar as classificações de licença permitidas, é possível usar os relatórios dos exames para encontrar o trabalho para a equipe de desenvolvimento.