Schweregrad des Codeproblems in den Codeprüfungen von Amazon Q Developer
Amazon Q definiert den Schweregrad der in Ihrem Code erkannten Codeprobleme, sodass Sie priorisieren können, welche Probleme behoben werden müssen, und den Sicherheitsstatus Ihrer Anwendung verfolgen können. In den folgenden Abschnitten wird erklärt, mit welchen Methoden der Schweregrad von Codeproblemen bestimmt wird und was die einzelnen Schweregrade bedeuten.
Berechnung des Schweregradwerts
Der Schweregrad eines Codeproblems wird durch den Detektor bestimmt, der das Problem generiert hat. Den Detektoren in der Amazon Q Detector Library wird mithilfe des Common Vulnerability Scoring System (CVSS
In der folgenden Tabelle wird dargestellt, wie der Schweregrad anhand der Zugriffsebene und des Aufwandes bestimmt wird, den ein böswilliger Akteur benötigt, um ein System erfolgreich anzugreifen.
| Grad des Aufwands | ||||
|---|---|---|---|---|
| Nicht ausnutzbar | Erfordert Zugriff auf das System | Internet mit hohem LoE | Über das Internet | |
|
Zugriffsebene |
||||
| Volle Kontrolle über das System oder dessen Ausgabe | N/A | Hoch | Kritisch | Kritisch |
| Zugriff auf sensible Informationen | N/A | Medium | Hoch | Hoch |
| Kann das System abstürzen lassen oder verlangsamen | Niedrig | Niedrig | Mittelschwer | Mittelschwer |
| Sorgt für zusätzliche Sicherheit | Informationen | Informationen | Niedrig | Niedrig |
| Bewährte Methode | Informationen | N/A | – | N/A |
Schweregraddefinitionen
Die Schweregradstufen sind wie folgt definiert.
Kritisch – Das Codeproblem sollte sofort behoben werden, um eine Eskalation zu vermeiden.
Kritische Codeprobleme deuten darauf hin, dass ein Angreifer mit moderatem Aufwand die Kontrolle über das System erlangen oder sein Verhalten ändern kann. Es wird empfohlen, kritische Probleme mit äußerster Dringlichkeit zu behandeln. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
Hoch – Das Codeproblem muss kurzfristig vorrangig behandelt werden.
Codeprobleme mit hohem Schweregrad deuten darauf hin, dass ein Angreifer mit großem Aufwand die Kontrolle über das System erlangen oder sein Verhalten ändern kann. Es wird empfohlen, ein Problem mit hohem Schweregrad als kurzfristige Priorität zu behandeln und sofort Gegenmaßnahmen zu ergreifen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
Mittel – Das Codeproblem sollte als mittelfristige Priorität angegangen werden.
Probleme mit mittlerem Schweregrad können zum Absturz, zu mangelnder Reaktionsfähigkeit oder zur Nichtverfügbarkeit des Systems führen. Es wird empfohlen, den betroffenen Code so bald wie möglich zu untersuchen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
Niedrig – Das Codeproblem erfordert keine besonderen Maßnahmen.
Probleme mit geringem Schweregrad deuten auf Programmierfehler oder Anti-Muster hin. Bei Problemen mit geringem Schweregrad müssen Sie nicht sofort Maßnahmen ergreifen, sie können jedoch Kontext bieten, wenn Sie sie mit anderen Problemen korrelieren.
Informativ – Es werden keine Maßnahmen empfohlen.
Zu den informativen Problemen gehören Vorschläge für Verbesserungen der Qualität oder Lesbarkeit oder alternative API-Operationen. Es sind keine sofortigen Maßnahmen erforderlich.
