

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gravedad del problema de código en las revisiones de código de Amazon Q Developer
<a name="code-issue-severity"></a>

Amazon Q define la gravedad de los problemas de código detectados en el código para que pueda priorizar los problemas que se deben abordar y realizar un seguimiento del estado de seguridad de su aplicación. En las siguientes secciones, se explican los métodos que se utilizan para determinar la gravedad de los problemas de código y qué significa cada nivel de gravedad. 

## Cómo se calcula la gravedad
<a name="severity-calculation"></a>

La gravedad de un problema con el código viene determinada por el detector que lo generó. A cada detector en la [Biblioteca de detectores de Amazon Q](https://docs.aws.amazon.com/codeguru/detector-library) se le asigna una gravedad mediante el sistema de clasificación de vulnerabilidades comunes ([CVSS](https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator)). El CVSS considera cómo se puede vulnerar el resultado en su contexto (por ejemplo, si se puede realizar a través de Internet o si se requiere acceso físico) y qué nivel de acceso se puede obtener.

En la siguiente tabla se describe cómo se determina la gravedad en función del nivel de acceso y el nivel de esfuerzo necesarios para que un agente malintencionado ataque con éxito un sistema.


**Matriz de determinación de gravedad**  

| Nivel de acceso | Nivel de esfuerzo | Gravedad | 
| --- | --- | --- | 
| Control total del sistema o su salida | Requiere acceso al sistema | Alto | 
| Control total del sistema o su salida | Internet con un alto nivel de esfuerzo | Critico | 
| Control total del sistema o su salida | A través de internet | Critico | 
| Acceso a información confidencial | Requiere acceso al sistema | Medio | 
| Acceso a información confidencial | Internet con un alto nivel de esfuerzo | Alto | 
| Acceso a información confidencial | A través de internet | Alto | 
| Puede bloquear o ralentizar el sistema | Requiere acceso al sistema | Bajo | 
| Puede bloquear o ralentizar el sistema | Internet con un alto nivel de esfuerzo | Medio | 
| Puede bloquear o ralentizar el sistema | A través de internet | Medio | 
| Proporciona seguridad adicional | No vulnerable | Información | 
| Proporciona seguridad adicional | Requiere acceso al sistema | Información | 
| Proporciona seguridad adicional | Internet con un alto nivel de esfuerzo | Bajo | 
| Proporciona seguridad adicional | A través de internet | Bajo | 
| Práctica recomendada | No vulnerable | Información | 

## Definiciones de gravedad
<a name="severity-definitions"></a>

Las etiquetas de gravedad se definen como se indica a continuación.

 **Crítico: el problema debe abordarse de inmediato para evitar una escalada.**

Los problemas críticos de código sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo moderado. Se recomienda tratar los resultados críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.

 **Alto: el problema de código debe abordarse con prioridad a corto plazo.**

Los problemas de alta gravedad sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo alto. Se recomienda tratar un resultado de gravedad alta como una prioridad a corto plazo y adoptar medidas correctivas inmediatas. También debe tener en cuenta la criticidad del recurso.

 **Medio: el problema de código debe abordarse como una prioridad a medio plazo.**

Los resultados de gravedad media pueden provocar un bloqueo, una falta de respuesta o una falta de disponibilidad del sistema. Recomendamos que investigue el código implicado tan pronto como sea posible. También debe tener en cuenta la criticidad del recurso.

 **Bajo: el problema de código no requiere acción por sí solo.**

Los resultados de gravedad baja sugieren errores de programación o errores antipatrones. No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.

**Informativo: no se recomienda ninguna acción.**

Los resultados informativos incluyen sugerencias para mejorar la calidad o la legibilidad, o bien operaciones de API alternativas. No hay que hacer nada de inmediato.