Falešně pozitivní
Stručně řečeno
V oblasti bezpečnosti dochází k falešně pozitivnímu výsledku, když nástroj hlásí problém, který ve skutečnosti neexistuje.
Co je falešně pozitivní?
Falešně pozitivní je, když bezpečnostní nástroj hlásí problém, který ve skutečnosti neexistuje.
Jednoduchý příklad:
- Skutečný problém: Kouřový alarm se spustí, protože je požár.
- Falešně pozitivní: Kouřový alarm se spustí kvůli páře z vaření.
Upozornění je skutečné, ale neexistuje žádné skutečné nebezpečí.
Proč jsou falešně pozitivní problémem
Falešně pozitivní dělají více než jen plýtvání časem. Mohou vést k reálným problémům, jak čas plyne.
Vedou k:
- Plýtvání časem na řešení problémů, které neexistují
- Frustraci mezi bezpečnostními a vývojovými týmy
- Vyššímu riziku, protože skutečné problémy jsou ignorovány
Proč k falešně pozitivním dochází
Bezpečnostní nástroje jsou navrženy tak, aby byly opatrné. Je pro ně bezpečnější vydat příliš mnoho varování, než přehlédnout skutečný útok.
Běžné důvody:
-
Žádný kontext
Nástroj vidí hardcodované heslo, ale je to pouze v testovacím souboru.
-
Komplexní kód
Nástroj si myslí, že uživatelský vstup je nebezpečný, ale kód ho již čistí.
-
Staré pravidla
Nový, bezpečný software vypadá jako stará hrozba.
-
Pravidla, která jsou příliš široká
Například označování každého použití eval(), i když je to bezpečné.
Skutečné náklady falešně pozitivních
Skutečný problém nastává, když se nahromadí příliš mnoho upozornění.
- Týmy přestanou věnovat pozornost upozorněním.
- Sestavení a vydání se zpomalí.
- Zkušení inženýři plýtvají časem na přezkoumávání falešných problémů.
Falešně pozitivní vs falešně negativní
| Termín | Co to znamená |
|---|---|
| Pravdivě pozitivní | Skutečný problém je správně nalezen |
| Falešně pozitivní | Problém je hlášen, ale není skutečný |
| Pravdivě negativní | Bezpečný kód je správně ignorován |
| Falešně negativní | Skutečný problém je přehlédnut (to je nebezpečné) |
Související termíny
- Únava z upozornění
- SAST
- Třídění
- EPSS
FAQ
Jak zjistím, zda je upozornění falešně pozitivní?
Měli byste zkontrolovat kód, abyste zjistili, zda by skutečný uživatel mohl problém vyvolat.
Mohou mít nástroje nulové falešně pozitivní výsledky?
Ne. Cílem je je snížit, ne je zcela odstranit.
Měl bych přestat používat nástroj s mnoha falešně pozitivními výsledky?
Ne okamžitě. Většina nástrojů potřebuje doladění, aby odpovídala vaší kódové základně.