Yanlış Pozitifler
Kısaca
Güvenlikte, yanlış pozitif, bir aracın aslında var olmayan bir problemi rapor etmesi durumudur.
Yanlış Pozitif Nedir?
Yanlış pozitif, bir güvenlik aracının aslında var olmayan bir problemi rapor etmesidir.
Basit örnek:
- Gerçek problem: Yangın alarmı, bir yangın olduğu için çalar.
- Yanlış pozitif: Yangın alarmı, yemek pişirirken çıkan buhar nedeniyle çalar.
Uyarı gerçektir, ancak aslında bir tehlike yoktur.
Yanlış Pozitiflerin Neden Sorun Olduğu
Yanlış pozitifler sadece zaman kaybına neden olmaz. Zamanla gerçek sorunlara yol açabilirler.
Bunlar şunlara yol açar:
- Var olmayan sorunları çözmek için zaman kaybı
- Güvenlik ve geliştirme ekipleri arasında hayal kırıklığı
- Gerçek sorunlar göz ardı edildiği için daha yüksek risk
Yanlış Pozitiflerin Nedenleri
Güvenlik araçları dikkatli olacak şekilde tasarlanmıştır. Gerçek bir saldırıyı kaçırmaktansa çok fazla uyarı vermeleri daha güvenlidir.
Yaygın nedenler:
-
Bağlam eksikliği
Bir araç, hardcoded bir şifre görür, ancak bu sadece bir test dosyasındadır.
-
Karmaşık kod
Araç, kullanıcı girdisinin güvensiz olduğunu düşünür, ancak kod zaten bunu temizler.
-
Eski kurallar
Yeni, güvenli yazılım eski bir tehdit gibi görünür.
-
Çok geniş kurallar
Örneğin, eval() kullanımını her durumda işaretlemek, güvenli olduğunda bile.
Yanlış Pozitiflerin Gerçek Maliyeti
Asıl sorun, çok fazla uyarı biriktiğinde ortaya çıkar.
- Ekipler uyarılara dikkat etmeyi bırakır.
- Derlemeler ve sürümler yavaşlar.
- Yetkin mühendisler sahte sorunları incelemek için zaman harcar.
Yanlış Pozitifler ve Yanlış Negatifler
| Terim | Anlamı |
|---|---|
| Doğru Pozitif | Gerçek bir sorun doğru bir şekilde bulunur |
| Yanlış Pozitif | Bir sorun rapor edilir ancak gerçek değildir |
| Doğru Negatif | Güvenli kod doğru bir şekilde göz ardı edilir |
| Yanlış Negatif | Gerçek bir sorun gözden kaçırılır (bu tehlikelidir) |
İlgili Terimler
- Uyarı Yorgunluğu
- SAST
- Üçleme
- EPSS
SSS
Bir uyarının yanlış pozitif olup olmadığını nasıl anlarım?
Sorunun gerçek bir kullanıcı tarafından tetiklenip tetiklenemeyeceğini belirlemek için kodu incelemelisiniz.
Araçlar sıfır yanlış pozitif içerebilir mi?
Hayır. Amaç, onları tamamen ortadan kaldırmak değil, azaltmaktır.
Çok sayıda yanlış pozitif içeren bir aracı kullanmayı bırakmalı mıyım?
Hemen değil. Çoğu araç, kod tabanınıza uyacak şekilde ayarlama gerektirir.