Gravedad del problema de código en las revisiones de código de Amazon Q Developer
Amazon Q define la gravedad de los problemas de código detectados en el código para que pueda priorizar los problemas que se deben abordar y realizar un seguimiento del estado de seguridad de su aplicación. En las siguientes secciones, se explican los métodos que se utilizan para determinar la gravedad de los problemas de código y qué significa cada nivel de gravedad.
Cómo se calcula la gravedad
La gravedad de un problema con el código viene determinada por el detector que lo generó. A cada detector en la Biblioteca de detectores de Amazon Q se le asigna una gravedad mediante el sistema de clasificación de vulnerabilidades comunes (CVSS
En la siguiente tabla se describe cómo se determina la gravedad en función del nivel de acceso y el nivel de esfuerzo necesarios para que un agente malintencionado ataque con éxito un sistema.
| Nivel de esfuerzo | ||||
|---|---|---|---|---|
| No vulnerable | Requiere acceso al sistema | Internet con alto nivel de acceso | A través de internet | |
|
Nivel de acceso |
||||
| Control total del sistema o su salida | N/A | Alto | Crítica | Critico |
| Acceso a información confidencial | N/A | Medio | Alto | Alto |
| Puede bloquear o ralentizar el sistema | Bajo | Bajo | Medio | Medio |
| Proporciona seguridad adicional | Información | Información | Bajo | Bajo |
| Práctica recomendada | Información | N/A | N/A | N/A |
Definiciones de gravedad
Las etiquetas de gravedad se definen como se indica a continuación.
Crítico: el problema debe abordarse de inmediato para evitar una escalada.
Los problemas críticos de código sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo moderado. Se recomienda tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.
Alto: el problema de código debe abordarse con prioridad a corto plazo.
Los problemas de alta gravedad sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo alto. Se recomienda tratar un resultado de gravedad alta como una prioridad a corto plazo y adoptar medidas correctivas inmediatas. También debe tener en cuenta la criticidad del recurso.
Medio: el problema de código debe abordarse como una prioridad a medio plazo.
Los resultados de gravedad media pueden provocar un bloqueo, una falta de respuesta o una falta de disponibilidad del sistema. Recomendamos que investigue el código implicado tan pronto como sea posible. También debe tener en cuenta la criticidad del recurso.
Bajo: el problema de código no requiere acción por sí solo.
Los resultados de gravedad baja sugieren errores de programación o errores antipatrones. No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.
Informativo: no se recomienda ninguna acción.
Los resultados informativos incluyen sugerencias para mejorar la calidad o la legibilidad, o bien operaciones de API alternativas. No hay que hacer nada de inmediato.
