Falske Positiver
TL;DR
I sikkerhed opstår en falsk positiv, når et værktøj rapporterer et problem, der faktisk ikke eksisterer.
Hvad Er en Falsk Positiv?
En falsk positiv er, når et sikkerhedsværktøj rapporterer et problem, der faktisk ikke eksisterer.
Simpelt eksempel:
- Reelt problem: Røgalarmen går i gang, fordi der er brand.
- Falsk positiv: Røgalarmen går i gang på grund af damp fra madlavning.
Alarmen er reel, men der er ingen egentlig fare.
Hvorfor Falske Positiver Er et Problem
Falske positiver gør mere end at spilde tid. De kan føre til reelle problemer, efterhånden som tiden går.
De fører til:
- Spildt tid på at løse problemer, der ikke eksisterer
- Frustration mellem sikkerheds- og udviklingsteams
- Højere risiko, fordi reelle problemer bliver ignoreret
Hvorfor Falske Positiver Opstår
Sikkerhedsværktøjer er designet til at være forsigtige. Det er sikrere for dem at give for mange advarsler end at overse et reelt angreb.
Almindelige årsager:
-
Ingen kontekst
Et værktøj ser en hardkodet adgangskode, men den er kun i en testfil.
-
Kompleks kode
Værktøjet tror, at brugerinput er usikkert, men koden renser det allerede.
-
Gamle regler
Ny, sikker software ligner en gammel trussel.
-
Regler, der er for brede
For eksempel at markere hver brug af eval(), selv når det er sikkert.
Den Reelle Omkostning ved Falske Positiver
Det reelle problem opstår, når for mange advarsler hober sig op.
- Teams holder op med at være opmærksomme på advarsler.
- Bygninger og udgivelser går langsommere.
- Dygtige ingeniører spilder tid på at gennemgå falske problemer.
Falske positiver vs falske negativer
| Term | Hvad det betyder |
|---|---|
| Sand positiv | Et reelt problem er korrekt fundet |
| Falsk positiv | Et problem rapporteres, men er ikke reelt |
| Sand negativ | Sikker kode ignoreres korrekt |
| Falsk negativ | Et reelt problem overses (dette er farligt) |
Relaterede termer
- Alarmtræthed
- SAST
- Triage
- EPSS
FAQ
Hvordan ved jeg, om en alarm er en falsk positiv?
Du bør gennemgå koden for at afgøre, om en reel bruger kunne udløse problemet.
Kan værktøjer have nul falske positiver?
Nej. Målet er at reducere dem, ikke fjerne dem helt.
Skal jeg stoppe med at bruge et værktøj med mange falske positiver?
Ikke med det samme. De fleste værktøjer skal tilpasses for at matche din kodebase.