解读扫描程序工具中的警报
若要正确解读扫描工具的结果,需要了解以下方面:
- 误报 找出扫描结果中的真正漏洞至关重要。 该工具是一种自动扫描方法,可能会错误地解读特定漏洞。 在扫描结果中对结果进行会审时,应注意某些发现可能不正确。 此类结果称为
false positives,由人工解读和专业知识确定。 不得过于武断将结果声明为误报。 另一方面,不保证扫描结果 100% 准确。 - 安全 bug 栏:最有可能的情况是,会检测到许多安全漏洞,其中一些是
false positives,但仍有许多发现。 如果给予一定的时间和资金,更多的发现往往可以得到处理或缓解。 在这种情况下,必须有一个安全 bug 栏,指示在可接受的安全风险足以将软件投入生产之前必须修复的漏洞级别。 Bug 栏确保明确了必须处理哪些操作,以及如果还有时间和资源,可以执行哪些操作。
工具扫描的结果将是选择在将软件视为稳定且完成之前尚待完成的工作的基础。
通过在“完成的定义”中设置一个安全 bug 栏并指定允许的许可等级,可以使用扫描报告找到开发团队的工作。