Severidade do problema de código nas revisões de código do Amazon Q Developer
O Amazon Q define a severidade dos problemas de código detectados no código para que você possa priorizar quais problemas resolver e monitorar a postura de segurança da sua aplicação. As seções a seguir explicam quais métodos são usados para determinar a severidade dos problemas de código e o que cada nível de severidade significa.
Como a severidade é calculada
A severidade de um problema de código é determinada pelo detector que gerou o problema. Cada detector no Amazon Q Detector Library é atribuído uma severidade usando o sistema de pontuação de vulnerabilidades comuns (CVSS
A tabela a seguir descreve como a severidade é determinada com base no nível de acesso e no nível de esforço necessários para um agente mal-intencionado atacar um sistema com sucesso.
| Nível de esforço | ||||
|---|---|---|---|---|
| Não explorável | Requer acesso ao sistema | Internet com alto LoE | Pela internet | |
|
Nível de acesso |
||||
| Controle total do sistema ou de sua saída | N/D | Alto | Crítico | Crítico |
| Acesso a informações confidenciais | N/D | Médio | Alto | Alto |
| Pode travar ou deixar o sistema lento | Baixo | Baixo | Médio | Médio |
| Fornece segurança adicional | Informações | Informações | Baixo | Baixo |
| Prática recomendada | Informações | N/D | N/D | N/D |
Definições de severidade
Os níveis de severidade são definidos da forma a seguir.
Crítico: o problema do código deve ser resolvido imediatamente para evitar que se agrave.
Problemas críticos de código sugerem que um invasor pode obter o controle do sistema ou modificar seu comportamento com esforço moderado. É recomendável que você trate as descobertas críticas com urgência. Você também deve considerar a importância do recurso.
Alto: o problema do código deve ser tratado como prioridade de curto prazo.
Problemas de código de alta severidade sugerem que um invasor pode obter o controle do sistema ou modificar seu comportamento com grande esforço. É recomendável que você trate uma descoberta de alta severidade como uma prioridade de curto prazo e que tome medidas de correção imediatas. Você também deve considerar a importância do recurso.
Médio: o problema de código deve ser tratado como uma prioridade de médio prazo.
Descobertas de severidade média podem levar a falhas, falta de resposta ou indisponibilidade do sistema. É recomendável que você investigue o código implicado o mais rápido possível. Você também deve considerar a importância do recurso.
Baixo: o problema do código não requer ação por conta própria.
Descobertas de baixa severidade sugerem erros de programação ou antipadrões. Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.
Informativo: nenhuma ação recomendada.
As descobertas informativas incluem sugestões para melhorias de qualidade ou legibilidade, ou operações alternativas de API. Nenhuma ação imediata é necessária.
