Interpréter les alertes des outils de scanneur
Pour interpréter correctement les résultats des outils d’analyse, vous devez être conscient de certains aspects :
- Faux positifs Il est essentiel de vérifier que les résultats sont vrais positifs dans les résultats de l’analyse. L'outil est un moyen automatisé d'analyser et peut mal interpréter des vulnérabilités spécifiques. Lors du triage des résultats du scanner, vous devez savoir que certains résultats peuvent ne pas être corrects. Ces résultats sont appelés
false positives, établis par l’interprétation et l’expertise de l’humain. Il ne faut pas déclarer un résultat faux positif trop rapidement. En revanche, il n’est pas garanti que les résultats de l’analyse soient à 100 % précis. - Barre de bogue de sécurité Très probablement, de nombreuses failles de sécurité ont été détectées : certaines d’entre elles
false positives, mais beaucoup de résultats. D’autres résultats peuvent souvent être traités ou atténués, moyennant une certaine quantité de temps et d’argent. Dans ce cas, il doit y avoir une barre de bogue de sécurité indiquant le niveau des vulnérabilités qui doivent être corrigées avant que les risques de sécurité ne soient suffisamment acceptables pour mettre le logiciel en production. La barre de bogue vous permet de vérifier clairement ce qui doit être pris en charge et ce qui peut être fait si le temps et les ressources sont conservés.
Les résultats de l’analyse des outils serviront de base à la sélection du travail restant à effectuer avant que le logiciel soit considéré comme stable et terminé.
En définissant une barre de bogue de sécurité dans la Définition de Terminé et en spécifiant les évaluations de licences autorisées, vous pouvez utiliser les rapports des analyses pour trouver le travail de l’équipe de développement.