기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Q Developer 코드 검토의 코드 문제 심각도
Amazon Q는 코드에서 탐지된 코드 문제의 심각도를 정의하므로 애플리케이션의 보안 태세를 해결하고 추적할 문제의 우선순위를 지정할 수 있습니다. 다음 섹션에서는 코드 문제의 심각도를 결정하는 데 사용되는 방법과 각 심각도 수준이 의미하는 바를 설명합니다.
심각도 계산 방법
코드 문제의 심각도는 문제를 생성한 탐지기에 의해 결정됩니다. Amazon Q 탐지기 라이브러리의 탐지기에는 각각 CVSS
다음 표에는 악의적인 행위자가 시스템을 성공적으로 공격하는 데 필요한 액세스 수준과 노력 수준에 따라 심각도를 결정하는 방법이 요약되어 있습니다.
| 액세스 수준 | 노력 수준 | 심각도 |
|---|---|---|
| 시스템 또는 출력의 전체 제어 | 시스템에 액세스해야 함 | 높음 |
| 시스템 또는 출력의 전체 제어 | 높은 수준의 노력이 필요한 인터넷 | 심각 |
| 시스템 또는 출력의 전체 제어 | 인터넷을 통해 | 심각 |
| 민감한 정보에 대한 액세스 | 시스템에 액세스해야 함 | 중간 |
| 민감한 정보에 대한 액세스 | 높은 수준의 노력이 필요한 인터넷 | 높음 |
| 민감한 정보에 대한 액세스 | 인터넷을 통해 | 높음 |
| 시스템 충돌 또는 속도 저하 가능 | 시스템에 액세스해야 함 | 낮음 |
| 시스템 충돌 또는 속도 저하 가능 | 높은 수준의 노력이 필요한 인터넷 | 중간 |
| 시스템 충돌 또는 속도 저하 가능 | 인터넷을 통해 | 중간 |
| 추가 보안 제공 | 악용할 수 없음 | 정보 |
| 추가 보안 제공 | 시스템에 액세스해야 함 | 정보 |
| 추가 보안 제공 | 높은 수준의 노력이 필요한 인터넷 | 낮음 |
| 추가 보안 제공 | 인터넷을 통해 | 낮음 |
| 모범 사례 | 악용할 수 없음 | 정보 |
심각도 정의
심각도 수준은 다음과 같이 정의됩니다.
심각 - 문제 확대를 방지하기 위해 코드 문제를 즉시 해결해야 합니다.
심각한 코드 문제는 공격자가 적당한 노력으로 시스템을 제어하거나 동작을 수정할 수 있음을 시사합니다. 심각한 조사 결과를 최대한 긴급하게 처리하는 것이 좋습니다. 리소스의 중요도도 고려해야 합니다.
높음 - 코드 문제를 단기 우선순위로 해결해야 합니다.
심각도가 높은 코드 문제는 공격자가 많은 노력으로 시스템을 제어하거나 동작을 수정할 수 있음을 시사합니다. 심각도가 높은 조사 결과를 단기 우선순위로 취급하고 즉각적인 문제 해결 단계를 수행하는 것이 좋습니다. 리소스의 중요도도 고려해야 합니다.
중간 - 코드 문제를 중기 우선순위로 해결해야 합니다.
심각도가 중간인 조사 결과는 시스템의 충돌, 응답 없음 또는 사용 불가로 이어질 수 있습니다. 가급적 빨리 관련 코드를 조사하는 것이 좋습니다. 리소스의 중요도도 고려해야 합니다.
낮음 - 코드 문제가 자체 조치를 필요로 하지 않습니다.
심각도가 낮은 조사 결과는 프로그래밍 오류 또는 안티 패턴을 시사합니다. 심각도가 낮은 조사 결과에 대해 즉각적인 조치를 취할 필요는 없지만, 다른 문제와 연관시킬 때 컨텍스트를 제공할 수 있습니다.
정보 제공 - 권장 조치가 없습니다.
정보 제공 조사 결과에는 품질이나 가독성 개선 또는 대체 API 작업에 대한 제안이 포함됩니다. 즉각적인 조치는 필요하지 않습니다.
