Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gravité des problèmes de code dans les révisions de code Amazon Q Developer
Amazon Q définit la gravité des problèmes de code détectés dans votre code afin que vous puissiez hiérarchiser les problèmes à résoudre et suivre le niveau de sécurité de votre application. Les sections suivantes expliquent les méthodes utilisées pour déterminer la gravité des problèmes de code et la signification de chaque niveau de gravité.
Comment la gravité est calculée
La gravité d’un problème de code est déterminée par le détecteur à l’origine du problème. Chaque détecteur de la bibliothèque de détecteurs Amazon Q se voit attribuer une gravité à l’aide du système CVSS
Le tableau suivant explique comment la gravité est déterminée en fonction du niveau d’accès et du niveau d’effort requis pour qu’un acteur malveillant attaque avec succès un système.
| Niveau d’accès | Niveau d'effort | Sévérité |
|---|---|---|
| Contrôle total du système ou de sa sortie | Nécessite un accès au système | Élevé |
| Contrôle total du système ou de sa sortie | Internet avec un niveau d'effort élevé | Critique |
| Contrôle total du système ou de sa sortie | Sur Internet | Critique |
| Accès aux informations sensibles | Nécessite un accès au système | Moyen |
| Accès aux informations sensibles | Internet avec un niveau d'effort élevé | Élevé |
| Accès aux informations sensibles | Sur Internet | Élevé |
| Peut bloquer ou ralentir le système | Nécessite un accès au système | Faible |
| Peut bloquer ou ralentir le système | Internet avec un niveau d'effort élevé | Moyen |
| Peut bloquer ou ralentir le système | Sur Internet | Moyen |
| Offre une sécurité supplémentaire | Non exploitable | Info (Infos) |
| Offre une sécurité supplémentaire | Nécessite un accès au système | Info (Infos) |
| Offre une sécurité supplémentaire | Internet avec un niveau d'effort élevé | Faible |
| Offre une sécurité supplémentaire | Sur Internet | Faible |
| Bonne pratique | Non exploitable | Info (Infos) |
Définitions de la gravité
Les niveaux de gravité sont définis comme suit.
Gravité critique : le problème de code doit être résolu immédiatement pour éviter qu’il ne s’aggrave.
Des problèmes de code critiques suggèrent qu’un attaquant peut prendre le contrôle du système ou modifier son comportement avec un effort modéré. Il est recommandé de traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l’importance de la ressource.
Gravité élevée : le problème doit être traité en priorité à court terme.
Des problèmes de code très graves suggèrent qu’un attaquant peut prendre le contrôle du système ou modifier son comportement avec beaucoup d’efforts. Il est recommandé de traiter un résultat avec une gravité élevée comme une priorité à court terme et de prendre des mesures correctives immédiates. Vous devez également tenir compte de l’importance de la ressource.
Gravité moyenne : le problème du code doit être traité en priorité à moyen terme.
Les résultats de gravité moyenne peuvent entraîner un crash, une absence de réactivité ou une indisponibilité du système. Nous vous recommandons d’examiner la ressource impliquée dans un délai raisonnable. Vous devez également tenir compte de l’importance de la ressource.
Faible : le problème ne nécessite pas d’action par lui-même.
Les résultats de faible gravité suggèrent des erreurs de programmation ou des anti-modèles. Il n’est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ces résultats peuvent fournir un contexte lorsque vous les mettez en corrélation avec d’autres problèmes.
Résultats informatifs : aucune action n’est recommandée.
Les résultats informatifs incluent des suggestions d’amélioration de la qualité ou de la lisibilité, ou d’autres opérations d’API. Aucune action immédiate n’est nécessaire.
