As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gravidade do problema de código nas análises de código do Amazon Q Developer
O Amazon Q define a gravidade dos problemas de código detectados em seu código para que você possa priorizar quais problemas resolver e rastrear a postura de segurança do seu aplicativo. As seções a seguir explicam quais métodos são usados para determinar a gravidade dos problemas de código e o que cada nível de gravidade significa.
Como a gravidade é calculada
A gravidade de um problema de código é determinada pelo detector que gerou o problema. Cada detector na Amazon Q Detector Library recebe uma severidade usando o Common Vulnerability Scoring System () CVSS
A tabela a seguir descreve como a gravidade é determinada com base no nível de acesso e no nível de esforço necessários para que um agente mal-intencionado ataque um sistema com sucesso.
| Nível de esforço | ||||
|---|---|---|---|---|
| Não explorável | Requer acesso ao sistema | Internet com alto LoE | Pela internet | |
|
Nível de acesso |
||||
| Controle total do sistema ou de sua saída | N/D | Alto | Crítico | Crítico |
| Acesso a informações confidenciais | N/D | Médio | Alto | Alto |
| Pode travar ou desacelerar o sistema | Baixo | Baixo | Médio | Médio |
| Fornece segurança adicional | Informações | Informações | Baixo | Baixo |
| Prática recomendada | Informações | N/D | N/D | N/D |
Definições de severidade
Os níveis de severidade são definidos da seguinte forma.
Crítico — O problema do código deve ser resolvido imediatamente para evitar que ele se agrave.
Problemas críticos de código sugerem que um invasor pode obter o controle do sistema ou modificar seu comportamento com esforço moderado. É recomendável que você trate as descobertas críticas com a máxima urgência. Você também deve considerar a importância do recurso.
Alto — O problema do código deve ser tratado como uma prioridade de curto prazo.
Problemas de código de alta severidade sugerem que um invasor pode obter o controle do sistema ou modificar seu comportamento com muito esforço. É recomendável que você trate uma constatação de alta gravidade como uma prioridade de curto prazo e que tome medidas imediatas de remediação. Você também deve considerar a importância do recurso.
Médio — O problema do código deve ser tratado como uma prioridade de médio prazo.
Descobertas de severidade média podem causar falhas, falta de resposta ou indisponibilidade do sistema. É recomendável que você investigue o código implicado o mais rápido possível. Você também deve considerar a importância do recurso.
Baixo — O problema do código não exige ação por si só.
Descobertas de baixa severidade sugerem erros de programação ou antipadrões. Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.
Informativo — Nenhuma ação recomendada.
As descobertas informativas incluem sugestões para melhorias na qualidade ou na legibilidade, ou operações alternativasAPI. Nenhuma ação imediata é necessária.
