Interpretar alertas de ferramentas de scanner
Para interpretar corretamente os resultados das ferramentas de digitalização, você precisa estar ciente de alguns aspetos:
- Falsos positivos É essencial verificar se os resultados são positivos reais nos resultados do exame. As ferramentas são uma forma automatizada de analisar e podem estar a interpretar mal vulnerabilidades específicas. Na triagem do achado nos resultados do exame, você deve estar ciente de que alguns achados podem não estar corretos. Tais resultados são chamados
false positives
de , estabelecidos pela interpretação humana e perícia. Não se deve declarar um resultado um falso positivo muito rapidamente. Por outro lado, não é garantido que os resultados da verificação sejam 100% precisos. - Barra de bugs de segurança Muito provavelmente, muitas vulnerabilidades de segurança serão detetadas — algumas delas
false positives
, mas ainda muitas descobertas. Muitas vezes, mais descobertas podem ser tratadas ou mitigadas, dada uma certa quantidade de tempo e dinheiro. Nesses casos, deve haver uma barra de bugs de segurança indicando o nível de vulnerabilidades que devem ser corrigidas antes que os riscos de segurança sejam aceitáveis o suficiente para levar o software à produção. A barra de bugs garante que fique claro o que deve ser cuidado e o que pode ser feito se sobrar tempo e recursos.
Os resultados da verificação de ferramentas serão a base para selecionar o trabalho que ainda precisa ser feito antes que o software seja considerado estável e concluído.
Ao definir uma barra de bugs de segurança na Definição de Concluído e especificar as classificações de licença permitidas, pode-se usar os relatórios das verificações para encontrar o trabalho para a equipe de desenvolvimento.