Como classificar uma vulnerabilidade?

Nesta seção, você encontra informações para a classificação de vulnerabilidade entre falso positivo, risco aceito, vulnerabilidade, corrigida.

Por que classificar uma vulnerabilidade?

O Horusec é uma ferramenta SAST e pode ser que você encontre alguma vulnerabilidade que, de fato, não seja.

Por exemplo, um arquivo de teste que você deseja verificar se a conexão com o banco de dados está sendo realizada da forma correta. Por ser cenário de teste o Horusec irá acusar essa vulnerabilidade. Para evitar essa situação, você precisar fazer a classificação dela a fim de ignorar essa vulnerabilidade específica.

Tipos de Classificação

Falso positivo
- A vulnerabilidade encontrada está errada, pois está sendo acusada em um arquivo de teste ou não é uma vulnerabilidade de fato e sim um código seguro.
Risco aceito
- A vulnerabilidade foi acusada, mas no momento você não tem a opção de realizar uma correção, então ela será classificada como um risco aceito para seguir o processo do dia a dia.
Corrigida.
- A vulnerabilidade já não existe e pode ser considerada como corrigida.
Vulnerabilidade
- Uma possível falha de segurança foi encontrada e acusada na análise.

Apenas falhas de segurança do tipo Vulnerabilidade retornam erro e esperam ser corrigidas, os outros tipos são mostrados, mas ignorados.

Como classificar?

Há dois modos de classificação no Horusec, veja:

1. CLI

Com a CLI, você pode realizar uma classificação rápida sobreescrevendo o que foi configurado pela aplicação web. Só que a classificação não será refletida na sua aplicação web, ela vale somente no local que a análise foi realizada.

Quando uma análise termina, você receberá a referência de um hash única para cada vulnerabilidade que significa:

Código vulnerável;
Linha vulnerável;
Detalhes da vulnerabilidade;
Diretório do arquivo que está vulnerável.

Importante lembrar: Nunca compartilhe este hash, ele pode conter informações sensíveis da sua organização que não podem ser vazadas.

Depois disso você irá utilizar o hash para realizar a classificação entre falso positivo ou risco aceito.

Por meio da CLI, você pode realizar a classificação por:

Flags;
Variáveis de ambiente;
Arquivo de configuração.

O mais recomendado é por meio de arquivo de configuração, como no exemplo abaixo:

{
  "horusecCliFalsePositiveHashes": [
    "HASH1",
    "HASH2"
  ],
  "horusecCliRiskAcceptHashes": [
    "HASH1",
    "HASH2"
  ]
}

2. Aplicação web

A classificação pela aplicação web é o meio mais recomendado, já que a CLI adquire as configurações que você realizou na interface gráfica e por isso você terá uma visão geral das vulnerabilidades, porém é necessário realizar a integração com um token de autorização para que a funcionalidade seja aplicada.

Agora, para classificar pela sua aplicação web, siga os passos:

Passo 1: Quando você realiza o login e escolhe o workspace na aplicação Web, você verá uma opção de vulnerabilidades no menu do lado esquerdo, como mostra a imagem abaixo:

Passo 2: Ao acessá-lo, você verá todas as vulnerabilidades encontradas na análise do repositório selecionado:

Passo 3: Agora, altere para o tipo que você deseja. Na próxima análise, o tipo dela será alterado:

Feedback

Was this page helpful?

Glad to hear it! Please tell us how we can improve.

Sorry to hear that. Please tell us how we can improve.

Última modificação 20.05.2021: Fix version 1.0.0 with new links (a868f86)