Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Schweregrad des Codeproblems in den Codeprüfungen von Amazon Q Developer
Amazon Q definiert den Schweregrad der in Ihrem Code erkannten Codeprobleme, sodass Sie priorisieren können, welche Probleme behoben werden müssen, und den Sicherheitsstatus Ihrer Anwendung verfolgen können. In den folgenden Abschnitten wird erklärt, mit welchen Methoden der Schweregrad von Codeproblemen bestimmt wird und was die einzelnen Schweregrade bedeuten.
Wie wird der Schweregrad berechnet
Der Schweregrad eines Codeproblems wird durch den Detektor bestimmt, der das Problem verursacht hat. Den Detektoren in der Amazon Q Detector Library wird mithilfe des Common Vulnerability Scoring System (CVSS
In der folgenden Tabelle wird dargestellt, wie der Schweregrad anhand der Zugriffsebene und des Aufwandes bestimmt wird, den ein böswilliger Akteur benötigt, um ein System erfolgreich anzugreifen.
| Umfang des Aufwands | ||||
|---|---|---|---|---|
| Nicht ausnutzbar | Erfordert Zugriff auf das System | Internet mit hohem PoE | Über das Internet | |
|
Ebene des Zugriffs |
||||
| Volle Kontrolle über das System oder dessen Ausgabe | N/A | Hoch | Kritisch | Kritisch |
| Zugriff auf vertrauliche Informationen | N/A | Medium | Hoch | Hoch |
| Kann das System abstürzen oder verlangsamen | Niedrig | Niedrig | Mittelschwer | Mittelschwer |
| Bietet zusätzliche Sicherheit | Informationen | Informationen | Niedrig | Niedrig |
| Bewährte Methode | Informationen | N/A | – | N/A |
Definitionen des Schweregrads
Die Schweregrade sind wie folgt definiert.
Kritisch — Das Codeproblem sollte sofort behoben werden, um eine Eskalation zu vermeiden.
Kritische Codeprobleme deuten darauf hin, dass ein Angreifer mit mäßigem Aufwand die Kontrolle über das System erlangen oder sein Verhalten ändern kann. Es wird empfohlen, kritische Ergebnisse mit äußerster Dringlichkeit zu behandeln. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
Hoch — Das Codeproblem muss kurzfristig mit Priorität behandelt werden.
Codeprobleme mit hohem Schweregrad deuten darauf hin, dass ein Angreifer mit hohem Aufwand die Kontrolle über das System erlangen oder sein Verhalten ändern kann. Es wird empfohlen, ein Problem mit hohem Schweregrad als kurzfristige Priorität zu behandeln und sofort Gegenmaßnahmen zu ergreifen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
Mittel — Das Problem mit dem Code sollte als mittelfristige Priorität angegangen werden.
Ergebnisse mit mittlerem Schweregrad können zum Absturz, zur mangelnden Reaktion oder zur Nichtverfügbarkeit des Systems führen. Es wird empfohlen, den betroffenen Code so schnell wie möglich zu untersuchen. Sie sollten auch die Wichtigkeit der Ressource berücksichtigen.
Niedrig — Das Codeproblem erfordert keine eigenständigen Maßnahmen.
Ergebnisse mit niedrigem Schweregrad deuten auf Programmierfehler oder Anti-Pattern hin. Bei Ergebnissen mit geringem Schweregrad müssen Sie nicht sofort Maßnahmen ergreifen, sie können jedoch Kontext bieten, wenn Sie sie mit anderen Problemen korrelieren.
Informativ — Keine empfohlenen Maßnahmen.
Zu den informativen Ergebnissen gehören Vorschläge für Verbesserungen der Qualität oder Lesbarkeit oder alternative Verfahren. API Es sind keine sofortigen Maßnahmen erforderlich.
