Falske Positiver
TL;DR
I sikkerhet oppstår en falsk positiv når et verktøy rapporterer et problem som faktisk ikke eksisterer.
Hva er en Falsk Positiv?
En falsk positiv er når et sikkerhetsverktøy rapporterer et problem som faktisk ikke eksisterer.
Enkelt eksempel:
- Reelt problem: Røykvarsleren går av fordi det er brann.
- Falsk positiv: Røykvarsleren går av på grunn av damp fra matlaging.
Varslingen er reell, men det er ingen faktisk fare.
Hvorfor Falske Positiver er et Problem
Falske positiver gjør mer enn å kaste bort tid. De kan føre til reelle problemer etter hvert som tiden går.
De fører til:
- Bortkastet tid på å fikse problemer som ikke eksisterer
- Frustrasjon mellom sikkerhets- og utviklingsteam
- Høyere risiko fordi reelle problemer blir ignorert
Hvorfor Falske Positiver Oppstår
Sikkerhetsverktøy er designet for å være forsiktige. Det er tryggere for dem å gi for mange advarsler enn å gå glipp av et reelt angrep.
Vanlige årsaker:
-
Ingen kontekst
Et verktøy ser et hardkodet passord, men det er bare i en testfil.
-
Kompleks kode
Verktøyet tror brukerinput er usikker, men koden renser den allerede.
-
Gamle regler
Ny, sikker programvare ser ut som en gammel trussel.
-
Regler som er for brede
For eksempel, flagging av hver bruk av eval() selv når det er trygt.
Den Reelle Kostnaden av Falske Positiver
Det reelle problemet oppstår når for mange varsler bygger seg opp.
- Team slutter å legge merke til varsler.
- Bygg og utgivelser går saktere.
- Dyktige ingeniører kaster bort tid på å gjennomgå falske problemer.
Falske Positiver vs Falske Negativer
| Begrep | Hva Det Betyr |
|---|---|
| Sann Positiv | Et reelt problem blir korrekt funnet |
| Falsk Positiv | Et problem rapporteres, men er ikke reelt |
| Sann Negativ | Sikker kode blir korrekt ignorert |
| Falsk Negativ | Et reelt problem blir oversett (dette er farlig) |
Relaterte Begreper
- Varsel Tretthet
- SAST
- Triage
- EPSS
FAQ
Hvordan vet jeg om et varsel er en falsk positiv?
Du bør gjennomgå koden for å avgjøre om en ekte bruker kunne utløse problemet.
Kan verktøy ha null falske positiver?
Nei. Målet er å redusere dem, ikke fjerne dem helt.
Bør jeg slutte å bruke et verktøy med mange falske positiver?
Ikke umiddelbart. De fleste verktøy trenger justering for å passe til din kodebase.