Comment la gravité est calculée Définitions de la gravité

Gravité des problèmes de code dans les révisions de code Amazon Q Developer

Amazon Q définit la gravité des problèmes de code détectés dans votre code afin que vous puissiez hiérarchiser les problèmes à résoudre et suivre le niveau de sécurité de votre application. Les sections suivantes expliquent les méthodes utilisées pour déterminer la gravité des problèmes de code et la signification de chaque niveau de gravité.

Comment la gravité est calculée

La gravité d’un problème de code est déterminée par le détecteur à l’origine du problème. Chaque détecteur de la bibliothèque de détecteurs Amazon Q se voit attribuer une gravité à l’aide du système CVSS (Common Vulnerability Scoring System). Le CVSS examine comment la découverte peut être exploitée dans son contexte (par exemple, peut-elle être effectuée via Internet ou un accès physique est-il requis) et quel niveau d’accès peut être obtenu.

Le tableau suivant explique comment la gravité est déterminée en fonction du niveau d’accès et du niveau d’effort requis pour qu’un acteur malveillant attaque avec succès un système.

	Niveau d’effort
	Non exploitable	Nécessite un accès au système	Internet avec un LoE élevé	Sur Internet
Niveau d’accès
Contrôle total du système ou de sa sortie	N/A	Élevé	Critique	Critique
Accès aux informations sensibles	N/A	Moyen	Élevé	Élevé
Peut bloquer ou ralentir le système	Faible	Faible	Moyen	Moyen
Offre une sécurité supplémentaire	Infos	Infos	Faible	Faible
Bonne pratique	Infos	N/A	N/A	N/A

Définitions de la gravité

Les niveaux de gravité sont définis comme suit.

Gravité critique : le problème de code doit être résolu immédiatement pour éviter qu’il ne s’aggrave.

Des problèmes de code critiques suggèrent qu’un attaquant peut prendre le contrôle du système ou modifier son comportement avec un effort modéré. Il est recommandé de traiter les résultats critiques avec la plus grande urgence. Vous devez également tenir compte de l’importance de la ressource.

Gravité élevée : le problème doit être traité en priorité à court terme.

Des problèmes de code très graves suggèrent qu’un attaquant peut prendre le contrôle du système ou modifier son comportement avec beaucoup d’efforts. Il est recommandé de traiter un résultat avec une gravité élevée comme une priorité à court terme et de prendre des mesures correctives immédiates. Vous devez également tenir compte de l’importance de la ressource.

Gravité moyenne : le problème du code doit être traité en priorité à moyen terme.

Les résultats de gravité moyenne peuvent entraîner un crash, une absence de réactivité ou une indisponibilité du système. Nous vous recommandons d’examiner la ressource impliquée dans un délai raisonnable. Vous devez également tenir compte de l’importance de la ressource.

Faible : le problème ne nécessite pas d’action par lui-même.

Les résultats de faible gravité suggèrent des erreurs de programmation ou des anti-modèles. Il n’est pas nécessaire de prendre des mesures immédiates en cas de constatation de faible gravité, mais ces résultats peuvent fournir un contexte lorsque vous les mettez en corrélation avec d’autres problèmes.

Résultats informatifs : aucune action n’est recommandée.

Les résultats informatifs incluent des suggestions d’amélioration de la qualité ou de la lisibilité, ou d’autres opérations d’API. Aucune action immédiate n’est nécessaire.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Filtrage des problèmes de code

Génération de documentation (/doc)