Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Gravedad del problema de código en las revisiones de código de Amazon Q Developer
Amazon Q define la gravedad de los problemas de código detectados en el código para que pueda priorizar los problemas que se deben abordar y realizar un seguimiento del estado de seguridad de su aplicación. En las siguientes secciones, se explican los métodos que se utilizan para determinar la gravedad de los problemas de código y qué significa cada nivel de gravedad.
Cómo se calcula la gravedad
La gravedad de un problema con el código viene determinada por el detector que lo generó. A cada detector en la Biblioteca de detectores de Amazon Q se le asigna una gravedad mediante el sistema de clasificación de vulnerabilidades comunes (CVSS
En la siguiente tabla se describe cómo se determina la gravedad en función del nivel de acceso y el nivel de esfuerzo necesarios para que un agente malintencionado ataque con éxito un sistema.
| Nivel de acceso | Nivel de esfuerzo | Gravedad |
|---|---|---|
| Control total del sistema o su salida | Requiere acceso al sistema | Alto |
| Control total del sistema o su salida | Internet con un alto nivel de esfuerzo | Critico |
| Control total del sistema o su salida | A través de internet | Critico |
| Acceso a información confidencial | Requiere acceso al sistema | Medio |
| Acceso a información confidencial | Internet con un alto nivel de esfuerzo | Alto |
| Acceso a información confidencial | A través de internet | Alto |
| Puede bloquear o ralentizar el sistema | Requiere acceso al sistema | Bajo |
| Puede bloquear o ralentizar el sistema | Internet con un alto nivel de esfuerzo | Medio |
| Puede bloquear o ralentizar el sistema | A través de internet | Medio |
| Proporciona seguridad adicional | No vulnerable | Información |
| Proporciona seguridad adicional | Requiere acceso al sistema | Información |
| Proporciona seguridad adicional | Internet con un alto nivel de esfuerzo | Bajo |
| Proporciona seguridad adicional | A través de internet | Bajo |
| Práctica recomendada | No vulnerable | Información |
Definiciones de gravedad
Las etiquetas de gravedad se definen como se indica a continuación.
Crítico: el problema debe abordarse de inmediato para evitar una escalada.
Los problemas críticos de código sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo moderado. Se recomienda tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.
Alto: el problema de código debe abordarse con prioridad a corto plazo.
Los problemas de alta gravedad sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo alto. Se recomienda tratar un resultado de gravedad alta como una prioridad a corto plazo y adoptar medidas correctivas inmediatas. También debe tener en cuenta la criticidad del recurso.
Medio: el problema de código debe abordarse como una prioridad a medio plazo.
Los resultados de gravedad media pueden provocar un bloqueo, una falta de respuesta o una falta de disponibilidad del sistema. Recomendamos que investigue el código implicado tan pronto como sea posible. También debe tener en cuenta la criticidad del recurso.
Bajo: el problema de código no requiere acción por sí solo.
Los resultados de gravedad baja sugieren errores de programación o errores antipatrones. No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.
Informativo: no se recomienda ninguna acción.
Los resultados informativos incluyen sugerencias para mejorar la calidad o la legibilidad, o bien operaciones de API alternativas. No hay que hacer nada de inmediato.
