Falsi Positivi
TL;DR
In ambito di sicurezza, un falso positivo si verifica quando uno strumento segnala un problema che in realtà non esiste.
Cos’è un Falso Positivo?
Un falso positivo si verifica quando uno strumento di sicurezza segnala un problema che in realtà non esiste.
Esempio semplice:
- Problema reale: L’allarme antincendio si attiva perché c’è un incendio.
- Falso positivo: L’allarme antincendio si attiva a causa del vapore della cottura.
L’allerta è reale, ma non c’è alcun pericolo effettivo.
Perché i Falsi Positivi Sono un Problema
I falsi positivi non solo fanno perdere tempo. Possono portare a problemi reali col passare del tempo.
Portano a:
- Tempo sprecato a risolvere problemi che non esistono
- Frustrazione tra i team di sicurezza e sviluppo
- Maggiore rischio perché i problemi reali vengono ignorati
Perché si Verificano i Falsi Positivi
Gli strumenti di sicurezza sono progettati per essere cauti. È più sicuro per loro dare troppe avvertenze piuttosto che perdere un attacco reale.
Motivi comuni:
-
Nessun contesto
Uno strumento vede una password hardcoded, ma è solo in un file di test.
-
Codice complesso
Lo strumento pensa che l’input dell’utente sia non sicuro, ma il codice lo pulisce già.
-
Regole obsolete
Nuovi software sicuri sembrano una vecchia minaccia.
-
Regole troppo ampie
Ad esempio, segnalare ogni uso di eval() anche quando è sicuro.
Il Vero Costo dei Falsi Positivi
Il vero problema si presenta quando si accumulano troppe allerte.
- I team smettono di prestare attenzione alle allerte.
- Le build e i rilasci rallentano.
- Ingegneri qualificati perdono tempo a rivedere problemi inesistenti.
Falsi Positivi vs Falsi Negativi
| Termine | Cosa Significa |
|---|---|
| Vero Positivo | Un vero problema è correttamente individuato |
| Falso Positivo | Viene segnalato un problema che non è reale |
| Vero Negativo | Il codice sicuro è correttamente ignorato |
| Falso Negativo | Un vero problema viene mancato (questo è pericoloso) |
Termini Correlati
- Affaticamento da Allerta
- SAST
- Triage
- EPSS
FAQ
Come posso sapere se un’allerta è un falso positivo?
Dovresti esaminare il codice per determinare se un utente reale potrebbe attivare il problema.
Gli strumenti possono avere zero falsi positivi?
No. L’obiettivo è ridurli, non eliminarli completamente.
Dovrei smettere di usare uno strumento con molti falsi positivi?
Non immediatamente. La maggior parte degli strumenti necessita di essere adattata al tuo codice.