本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Q 开发者版代码审查中的代码问题严重级别
<a name="code-issue-severity"></a>

Amazon Q 会为检测到的代码问题定义严重级别，帮助您确定问题的处理优先级，并跟踪应用程序的安全状态。以下章节将说明代码问题严重级别的判定方法，以及各级别对应的含义。

## 严重级别的计算方式
<a name="severity-calculation"></a>

代码问题的严重级别由生成该问题的检测器决定。系统会通过通用漏洞评分系统（[CVSS](https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator)）为 [Amazon Q 检测器库](https://docs.aws.amazon.com/codeguru/detector-library)中的每个检测器分配一个严重级别。CVSS 会结合漏洞在实际场景中的可利用性（例如，是否可通过互联网利用、是否需要物理访问权限），以及攻击者可获取的权限级别，来评估严重程度。

下表概述了如何根据攻击者成功攻击系统所需的权限级别和努力水平来判定严重级别。


**严重性确定矩阵**  

| 权限级别 | 工作量水平 | 严重性 | 
| --- | --- | --- | 
| 完全控制系统或其输出 | 需要系统访问权限 | 高 | 
| 完全控制系统或其输出 | 努力上网 | 重大 | 
| 完全控制系统或其输出 | 通过互联网 | 重大 | 
| 访问敏感信息 | 需要系统访问权限 | 中 | 
| 访问敏感信息 | 努力上网 | 高 | 
| 访问敏感信息 | 通过互联网 | 高 | 
| 导致系统崩溃或效率下降 | 需要系统访问权限 | 低 | 
| 导致系统崩溃或效率下降 | 努力上网 | 中 | 
| 导致系统崩溃或效率下降 | 通过互联网 | 中 | 
| 提供额外安全保障 | 不可利用 | 信息 | 
| 提供额外安全保障 | 需要系统访问权限 | 信息 | 
| 提供额外安全保障 | 努力上网 | 低 | 
| 提供额外安全保障 | 通过互联网 | 低 | 
| 最佳实践 | 不可利用 | 信息 | 

## 严重级别定义
<a name="severity-definitions"></a>

严重级别定义如下：

 **严重：应立即解决该代码问题，以防情况恶化。**

严重的代码问题意味着攻击者能以中等程度的努力获取系统控制权或修改系统行为。建议您有限处理严重问题，您还应该考虑资源的重要程度。

 **高：该代码问题必须作为近期优先事项来处理。**

高严重级别的代码问题表明，攻击者需付出较大努力才能获取系统控制权或修改系统行为。建议您将高严重级别的问题作为近期优先事项，并立即采取补救措施，您还应该考虑资源的重要程度。

 **中等：该代码问题应作为中期优先事项来处理。**

中等严重级别的问题可能导致系统崩溃、无响应或不可用。建议您在方便时尽早调查相关代码，您还应该考虑资源的重要程度。

 **低：该代码问题本身无需采取行动。**

低严重级别的问题通常意味着编程错误或反模式。您无需对低严重性问题立即采取行动，但是当您将它们与其他问题关联时，它们可以提供背景信息。

**信息性：无建议的操作。**

信息性问题包含关于质量或可读性改进的建议，或可选 API 操作建议。无需立即采取行动。