검사 도구에서 경고 해석
검사 도구의 결과를 정확하게 해석하려면 다음과 같은 몇 가지 측면을 유의해야 합니다.
- 가양성 검사 결과의 발견 사항이 실제로 긍정인지 확인하는 것이 중요합니다. 도구는 검사를 위한 자동화된 방법이며 특정 취약성을 잘못 해석할 수 있습니다. 검사 결과의 발견 사항을 심사할 때 일부 발견 사항이 올바르지 않을 수 있다는 점에 유의해야 합니다. 이러한 결과는
false positives라고 하며, 사용자의 해석과 전문 지식에 따라 설정됩니다. 결과를 false positive로 너무 빠르게 선언하면 안 됩니다. 반면 검사 결과는 100% 정확하게 보장되지 않습니다. - 보안 버그 바 대부분의 경우 많은 보안 취약성을 감지합니다(일부는
false positives). 일정한 시간과 비용이 있다면 더 많은 발견 사항을 처리하거나 완화할 수 있습니다. 이러한 경우 보안 위험이 소프트웨어를 프로덕션으로 가져갈 만큼 충분히 수용 가능하기 전에 수정되어야 하는 취약성의 수준을 나타내는 보안 버그 바가 있어야 합니다. 버그 바는 처리해야 하는 작업과 시간 및 리소스가 남아 있는 경우 수행할 작업을 명확하게 합니다.
도구 검사의 결과는 소프트웨어가 안정적인 것으로 간주되어 완료되기 전에 수행해야 할 작업을 선택하는 기준이 됩니다.
완료 정의에서 보안 버그 바를 설정하고 허용된 라이선스 등급을 지정하면 검사 보고서를 사용하여 개발 팀의 작업을 찾을 수 있습니다.