Falsos Positivos
Resumo
Em segurança, um falso positivo ocorre quando uma ferramenta relata um problema que na verdade não existe.
O Que É um Falso Positivo?
Um falso positivo é quando uma ferramenta de segurança relata um problema que na verdade não existe.
Exemplo simples:
- Problema real: O alarme de fumaça dispara porque há um incêndio.
- Falso positivo: O alarme de fumaça dispara por causa do vapor da cozinha.
O alerta é real, mas não há perigo real.
Por Que Falsos Positivos São um Problema
Falsos positivos fazem mais do que desperdiçar tempo. Eles podem levar a problemas reais à medida que o tempo passa.
Eles levam a:
- Tempo desperdiçado corrigindo problemas que não existem
- Frustração entre as equipes de segurança e desenvolvimento
- Maior risco porque problemas reais são ignorados
Por Que Falsos Positivos Acontecem
Ferramentas de segurança são projetadas para serem cautelosas. É mais seguro para elas dar muitos avisos do que perder um ataque real.
Razões comuns:
-
Sem contexto
Uma ferramenta vê uma senha hardcoded, mas está apenas em um arquivo de teste.
-
Código complexo
A ferramenta pensa que a entrada do usuário é insegura, mas o código já a limpa.
-
Regras antigas
Novo software seguro parece uma ameaça antiga.
-
Regras muito amplas
Por exemplo, sinalizar cada uso de eval() mesmo quando é seguro.
O Custo Real dos Falsos Positivos
O problema real surge quando muitos alertas se acumulam.
- As equipes param de prestar atenção aos alertas.
- Builds e lançamentos desaceleram.
- Engenheiros qualificados desperdiçam tempo revisando problemas falsos.
Falsos Positivos vs Falsos Negativos
| Termo | O que Significa |
|---|---|
| Verdadeiro Positivo | Um problema real é corretamente encontrado |
| Falso Positivo | Um problema é relatado, mas não é real |
| Verdadeiro Negativo | Código seguro é corretamente ignorado |
| Falso Negativo | Um problema real é perdido (isso é perigoso) |
Termos Relacionados
- Fadiga de Alertas
- SAST
- Triagem
- EPSS
FAQ
Como saber se um alerta é um falso positivo?
Você deve revisar o código para determinar se um usuário real poderia acionar o problema.
Ferramentas podem ter zero falsos positivos?
Não. O objetivo é reduzi-los, não removê-los completamente.
Devo parar de usar uma ferramenta com muitos falsos positivos?
Não imediatamente. A maioria das ferramentas precisa de ajustes para se adequar ao seu código.