چرا منفی های کاذب “معقول” را بر بالا بردن مثبت های کاذب ترجیح می دهیم

اخیراً در مورد اینکه SonarSource چگونه الگوی SAST را از هدف قرار دادن حسابرسان انطباق امنیت به امنیت کد به رهبری توسعه دهنده تغییر می دهد صحبت کردم. امروز دوست دارم در مورد اساسی ترین قسمت این تغییر صحبت کنم: دقت در موضوعاتی که ما مطرح می کنیم.

بیشتر ابزارهای SAST حسابرسان رعایت امنیت را هدف قرار می دهند. هدف آنها این است که مسئله ای را برای هر چیزی حتی از راه دور مشکوک مطرح کنند. هیچ ترس از نکات مثبت کاذب برای این ابزار وجود ندارد زیرا حسابرسان آن را درک می کنند. بالاخره این حسابرسان است کار برای مرتب کردن گندم از دانه و سیگنال از سر و صدا.

اما سالهاست که فریاد تجمع در SonarSource “کشتن سر و صدا!” به عنوان اولین شرکت توسعه دهنده ، می دانیم که تحمل کمی نسبت به گریه گرگ در بین توسعه دهندگان وجود دارد.

بنابراین اصل راهنمای ما این بوده است که نکات منفی کاذب “معقول” را بر افزایش نادرست کاذب ترجیح دهیم.

این از نظر عملی به چه معناست؟ خوب ، بیایید با چند عدد بازی کنیم. فرض کنید شما یک کد کد با 12 آسیب پذیری دارید. این 12 مورد است که کاملاً نیاز به رفع آن دارند.

یک تجزیه و تحلیل معمولی SAST ممکن است در مجموع 500 مسئله را ایجاد کند ، و سپس حسابرسان x هفته را مرتب می کنند تا شما را به عنوان توسعه دهنده ، نتیجه حسابرسی را مرتب کنند …