Menginterpretasikan peringatan dari alat pemindai
Untuk menginterpretasikan hasil alat pemindaian dengan benar, Anda perlu mengetahui beberapa aspek:
- Positif palsu Sangat penting untuk memverifikasi temuan agar benar-benar positif dalam hasil pemindaian. Alat ini adalah cara otomatis untuk memindai dan mungkin salah menginterpretasikan kerentanan tertentu. Dalam penggolongan temuan dalam hasil pemindaian, Anda harus menyadari bahwa beberapa penemuan mungkin tidak benar. Hasil seperti itu disebut
false positives, ditetapkan oleh interpretasi dan keahlian manusia. Seseorang tidak boleh menyatakan hasil positif palsu terlalu cepat. Di sisi lain, hasil pemindaian tidak dijamin 100% akurat. - Bilah bug keamanan Kemungkinan besar, banyak kerentanan keamanan akan terdeteksi—beberapa di antaranya
false positives, tetapi masih banyak temuan. Lebih banyak temuan seringkali dapat ditangani atau dikurangi, dengan banyaknya waktu dan uang tertentu. Dalam kasus seperti itu, harus ada bilah bug keamanan yang menunjukkan tingkat kerentanan yang harus diperbaiki sebelum risiko keamanan cukup dapat diterima untuk membawa perangkat lunak ke dalam produksi. Bilah bug memastikan bahwa jelas apa yang harus diatasi dan apa yang mungkin dilakukan jika waktu dan sumber daya tersisa.
Hasil pemindaian peralatan akan menjadi dasar untuk memilih pekerjaan apa yang masih harus dilakukan sebelum perangkat lunak dianggap stabil dan siap.
Dengan mengatur bilah bug keamanan di Definition of Done dan menentukan peringkat lisensi yang diizinkan, seseorang dapat menggunakan laporan dari pemindaian untuk menemukan pekerjaan bagi tim pengembangan.