Falsos Positivos
TL;DR
En seguridad, un falso positivo ocurre cuando una herramienta informa de un problema que en realidad no existe.
¿Qué es un Falso Positivo?
Un falso positivo es cuando una herramienta de seguridad informa de un problema que en realidad no existe.
Ejemplo simple:
- Problema real: La alarma de humo se activa porque hay un incendio.
- Falso positivo: La alarma de humo se activa por el vapor de la cocina.
La alerta es real, pero no hay peligro real.
Por qué los Falsos Positivos son un Problema
Los falsos positivos hacen más que desperdiciar tiempo. Pueden llevar a problemas reales a medida que pasa el tiempo.
Conducen a:
- Tiempo desperdiciado solucionando problemas que no existen
- Frustración entre los equipos de seguridad y desarrollo
- Mayor riesgo porque los problemas reales son ignorados
Por qué Ocurren los Falsos Positivos
Las herramientas de seguridad están diseñadas para ser cuidadosas. Es más seguro para ellas dar demasiadas advertencias que perder un ataque real.
Razones comunes:
-
Sin contexto
Una herramienta ve una contraseña codificada, pero solo está en un archivo de prueba.
-
Código complejo
La herramienta piensa que la entrada del usuario es insegura, pero el código ya la limpia.
-
Reglas antiguas
El software nuevo y seguro parece una amenaza antigua.
-
Reglas demasiado amplias
Por ejemplo, marcar cada uso de eval() incluso cuando es seguro.
El Costo Real de los Falsos Positivos
El problema real surge cuando se acumulan demasiadas alertas.
- Los equipos dejan de prestar atención a las alertas.
- Las compilaciones y lanzamientos se ralentizan.
- Ingenieros capacitados desperdician tiempo revisando problemas falsos.
Falsos Positivos vs Falsos Negativos
| Término | Qué Significa |
|---|---|
| Verdadero Positivo | Un problema real se encuentra correctamente |
| Falso Positivo | Se informa de un problema pero no es real |
| Verdadero Negativo | El código seguro se ignora correctamente |
| Falso Negativo | Se pasa por alto un problema real (esto es peligroso) |
Términos Relacionados
- Fatiga de Alertas
- SAST
- Triage
- EPSS
Preguntas Frecuentes
¿Cómo sé si una alerta es un falso positivo?
Deberías revisar el código para determinar si un usuario real podría desencadenar el problema.
¿Pueden las herramientas tener cero falsos positivos?
No. El objetivo es reducirlos, no eliminarlos completamente.
¿Debería dejar de usar una herramienta con muchos falsos positivos?
No inmediatamente. La mayoría de las herramientas necesitan ajustes para adaptarse a tu base de código.