Falsch Positive
TL;DR
Im Bereich der Sicherheit tritt ein Falsch Positiv auf, wenn ein Tool ein Problem meldet, das tatsächlich nicht existiert.
Was ist ein Falsch Positiv?
Ein Falsch Positiv liegt vor, wenn ein Sicherheitstool ein Problem meldet, das tatsächlich nicht existiert.
Einfaches Beispiel:
- Echtes Problem: Der Rauchmelder geht los, weil es ein Feuer gibt.
- Falsch Positiv: Der Rauchmelder geht los wegen Dampf vom Kochen.
Der Alarm ist echt, aber es besteht keine tatsächliche Gefahr.
Warum Falsch Positive ein Problem sind
Falsch Positive verschwenden nicht nur Zeit. Sie können im Laufe der Zeit zu echten Problemen führen.
Sie führen zu:
- Verschwendeter Zeit, um Probleme zu beheben, die nicht existieren
- Frustration zwischen Sicherheits- und Entwicklungsteams
- Höherem Risiko, weil echte Probleme ignoriert werden
Warum Falsch Positive auftreten
Sicherheitstools sind darauf ausgelegt, vorsichtig zu sein. Es ist sicherer für sie, zu viele Warnungen zu geben, als einen echten Angriff zu übersehen.
Häufige Gründe:
-
Kein Kontext
Ein Tool sieht ein hartcodiertes Passwort, aber es befindet sich nur in einer Testdatei.
-
Komplexer Code
Das Tool denkt, Benutzereingaben seien unsicher, aber der Code bereinigt sie bereits.
-
Alte Regeln
Neue, sichere Software sieht wie eine alte Bedrohung aus.
-
Zu breite Regeln
Zum Beispiel das Markieren jeder Verwendung von eval(), selbst wenn es sicher ist.
Die echten Kosten von Falsch Positiven
Das eigentliche Problem entsteht, wenn sich zu viele Warnungen ansammeln.
- Teams hören auf, auf Warnungen zu achten.
- Builds und Releases verlangsamen sich.
- Qualifizierte Ingenieure verschwenden Zeit mit der Überprüfung von Scheinproblemen.
Falsch Positive vs Falsch Negative
| Begriff | Was es bedeutet |
|---|---|
| Wahr Positiv | Ein echtes Problem wird korrekt gefunden |
| Falsch Positiv | Ein Problem wird gemeldet, ist aber nicht real |
| Wahr Negativ | Sicherer Code wird korrekt ignoriert |
| Falsch Negativ | Ein echtes Problem wird übersehen (das ist gefährlich) |
Verwandte Begriffe
- Alarmmüdigkeit
- SAST
- Triage
- EPSS
FAQ
Wie erkenne ich, ob ein Alarm ein falsch Positiver ist?
Sie sollten den Code überprüfen, um festzustellen, ob ein echter Benutzer das Problem auslösen könnte.
Können Werkzeuge keine falsch Positiven haben?
Nein. Das Ziel ist es, sie zu reduzieren, nicht vollständig zu entfernen.
Sollte ich aufhören, ein Werkzeug mit vielen falsch Positiven zu verwenden?
Nicht sofort. Die meisten Werkzeuge müssen angepasst werden, um zu Ihrem Codebestand zu passen.