Interpretar alertas de ferramentas de scanner
Para interpretar corretamente os resultados das ferramentas de digitalização, você precisa estar ciente de alguns aspetos:
- Falsos positivos É essencial verificar se os resultados são positivos reais nos resultados do exame. As ferramentas são uma forma automatizada de analisar e podem estar a interpretar mal vulnerabilidades específicas. Na triagem do achado nos resultados do exame, você deve estar ciente de que alguns achados podem não estar corretos. Tais resultados são chamados
false positivesde , estabelecidos pela interpretação humana e perícia. Não se deve declarar um resultado um falso positivo muito rapidamente. Por outro lado, não é garantido que os resultados da verificação sejam 100% precisos. - Barra de bugs de segurança Muito provavelmente, muitas vulnerabilidades de segurança serão detetadas — algumas delas
false positives, mas ainda muitas descobertas. Muitas vezes, mais descobertas podem ser tratadas ou mitigadas, dada uma certa quantidade de tempo e dinheiro. Nesses casos, deve haver uma barra de bugs de segurança indicando o nível de vulnerabilidades que devem ser corrigidas antes que os riscos de segurança sejam aceitáveis o suficiente para levar o software à produção. A barra de bugs garante que fique claro o que deve ser cuidado e o que pode ser feito se sobrar tempo e recursos.
Os resultados da verificação de ferramentas serão a base para selecionar o trabalho que ainda precisa ser feito antes que o software seja considerado estável e concluído.
Ao definir uma barra de bugs de segurança na Definição de Concluído e especificar as classificações de licença permitidas, pode-se usar os relatórios das verificações para encontrar o trabalho para a equipe de desenvolvimento.