Amazon Q Developer 程式碼檢閱中的程式碼問題嚴重性
Amazon Q 會定義您程式碼中偵測到的程式碼問題的嚴重性,讓您能夠決定要優先處理哪些問題,並追蹤應用程式的安全狀態。下列各節說明用來決定程式碼問題嚴重性的方法,以及每一種嚴重性層級的意義。
如何決定嚴重性
程式碼問題的嚴重性取決於產生問題的偵測器。Amazon Q 偵測器程式庫中的每個偵測器都會有使用通用漏洞評分系統 (CVSS
下表概述如何根據惡意行為者成功攻擊系統所需的存取層級和工作量來判斷嚴重性。
| 工作量 | ||||
|---|---|---|---|---|
| 無法利用 | 須有系統存取權 | 具有高 LoE 的網際網路 | 透過網際網路 | |
|
存取層級 |
||||
| 完全控制系統或其輸出 | N/A | 高 | 嚴重 | 嚴重 |
| 存取敏感資訊 | N/A | 中 | 高 | 高 |
| 可能使系統當機或變慢 | 低 | 低 | 中 | 中 |
| 提供額外的安全性 | Info | Info | 低 | 低 |
| 最佳實務 | Info | N/A | N/A | N/A |
嚴重性定義
嚴重性程度的定義如下。
重大 - 程式碼問題應該立即解決,以避免向上呈報。
重大程式碼問題表示,攻擊者可能取得系統控制權,或適度投入即可修改系統的行為。建議您以最緊急的狀況處理重大問題清單。您也應該考慮資源的重要性。
高 - 程式碼問題必須於近期優先處理。
高嚴重性的程式碼問題表示,攻擊者可能取得系統控制權,或高度投入即可修改系統的行為。建議您將高嚴重性的問題清單視為須於近期優先處理,並立即採取補救步驟。您也應該考慮資源的重要性。
中 - 程式碼問題應視為須於中期優先處理。
中等嚴重性的問題清單可能會導致系統當機、無回應或無法使用。我們建議您盡早調查相關程式碼。您也應該考慮資源的重要性。
低 - 程式碼問題本身不需採取動作。
低嚴重性的問題清單表示程式設計錯誤或反模式。您不需要對低嚴重性的問題清單立即採取動作,但這些問題可在您與其他問題相互關聯時提供內容。
資訊 - 沒有建議的動作。
資訊問題清單包括品質或易讀性改善的建議,或替代 API 操作。不需要立即採取行動。
