Amazon Q 开发者版代码审查中的代码问题严重级别
Amazon Q 会为检测到的代码问题定义严重级别,帮助您确定问题的处理优先级,并跟踪应用程序的安全状态。以下章节将说明代码问题严重级别的判定方法,以及各级别对应的含义。
严重级别的计算方式
代码问题的严重级别由生成该问题的检测器决定。系统会通过通用漏洞评分系统(CVSS
下表概述了如何根据攻击者成功攻击系统所需的权限级别和努力水平来判定严重级别。
| 努力水平 | ||||
|---|---|---|---|---|
| 不可利用 | 需要系统访问权限 | 高努力水平的互联网攻击 | 通过互联网 | |
|
权限级别 |
||||
| 完全控制系统或其输出 | 不适用 | 高 | 严重 | 严重 |
| 访问敏感信息 | 不适用 | 中 | 高 | 高 |
| 导致系统崩溃或效率下降 | 低 | 低 | 中 | 中 |
| 提供额外安全保障 | 信息性 | 信息性 | 低 | 低 |
| 最佳实践 | 信息性 | 不适用 | 不适用 | 不适用 |
严重级别定义
严重级别定义如下:
严重:应立即解决该代码问题,以防情况恶化。
严重的代码问题意味着攻击者能以中等程度的努力获取系统控制权或修改系统行为。建议您有限处理严重问题,同时还应该考虑资源的重要程度。
高:该代码问题必须作为近期优先事项来处理。
高严重级别的代码问题表明,攻击者需付出较大努力才能获取系统控制权或修改系统行为。建议您将高严重级别的问题作为近期优先事项,并立即采取补救措施,同时还应该考虑资源的重要程度。
中等:该代码问题应作为中期优先事项来处理。
中等严重级别的问题可能导致系统崩溃、无响应或不可用。建议您在方便时尽早调查相关代码,同时还应该考虑资源的重要程度。
低:该代码问题本身无需采取行动。
低严重级别的问题通常意味着编程错误或反模式。您无需对低严重性问题立即采取行动,但是当您将它们与其他问题关联时,它们可以提供背景信息。
信息性:无建议的操作。
信息性问题包含关于质量或可读性改进的建议,或可选 API 操作建议。无需立即采取行动。
