Перейти к содержанию

Уязвимости и секреты

Найденные уязвимости и секреты требуют ручной проверки. Задача разметки — зафиксировать решение и объяснить его так, чтобы вывод был понятен другим участникам процесса.

Статусы

Для уязвимостей доступны статусы: Подтверждена, Исправлено, Не подтверждена, Дубликат, Ложная, Не будет исправлено.

Для секретов доступны статусы: Подтверждённый и Ложноположительный.

При выборе статуса добавьте комментарий. Комментарий сохраняется вместе с автором и временем изменения и используется в интерфейсе и отчётах.

Комментарии

Хороший комментарий отвечает на три вопроса:

  1. Почему срабатывание применимо или неприменимо к проекту.
  2. Где находится подтверждающее обстоятельство: путь, тип зависимости, окружение, способ использования.
  3. Нужно ли действие: обновление, удаление, замена, настройка или принятие риска.

Неудачный комментарий просто повторяет статус и не объясняет решение.

Уязвимости

При разборе уязвимости проверьте:

  • компонент и версию;
  • путь, где компонент найден;
  • тип зависимости: runtime, dev, test, build;
  • используется ли уязвимая функциональность;
  • относится ли компонент к поверхности атаки или функции безопасности;
  • есть ли безопасная версия для обновления.

Секреты

При разборе секрета проверьте:

  • является ли значение реальным секретом;
  • есть ли доступ к рабочему окружению;
  • относится ли файл к тестовым данным, примерам или документации;
  • был ли секрет отозван или заменён;
  • нужно ли удалить значение из истории репозитория.

Перенос разметки

При повторном анализе SORCA переносит разметку на совпадающие срабатывания. После переноса стоит проверить новые и изменившиеся срабатывания: они могут требовать отдельного решения.