Como classificar uma vulnerabilidade?

Nesta seção, você encontra informações para a classificação de vulnerabilidade entre falso positivo, risco aceito, vulnerabilidade, corrigida.

Por que classificar uma vulnerabilidade?

O Horusec é uma ferramenta SAST e pode ser que você encontre alguma vulnerabilidade que, de fato, não seja.

Por exemplo, um arquivo de teste que você deseja verificar se a conexão com o banco de dados está sendo realizada da forma correta. Por ser cenário de teste o Horusec irá acusar essa vulnerabilidade. Para evitar essa situação, você precisar fazer a classificação dela a fim de ignorar essa vulnerabilidade específica.

Tipos de Classificação

  • Falso positivo

    • A vulnerabilidade encontrada está errada, pois está sendo acusada em um arquivo de teste ou não é uma vulnerabilidade de fato e sim um código seguro.
  • Risco aceito

    • A vulnerabilidade foi acusada, mas no momento você não tem a opção de realizar uma correção, então ela será classificada como um risco aceito para seguir o processo do dia a dia.
  • Corrigida.

    • A vulnerabilidade já não existe e pode ser considerada como corrigida.
  • Vulnerabilidade

    • Uma possível falha de segurança foi encontrada e acusada na análise.

Como classificar?

Há dois modos de classificação no Horusec, veja:

1. CLI

Com a CLI, você pode realizar uma classificação rápida sobreescrevendo o que foi configurado pela aplicação web. Só que a classificação não será refletida na sua aplicação web, ela vale somente no local que a análise foi realizada.

Quando uma análise termina, você receberá a referência de um hash única para cada vulnerabilidade que significa:

  • Código vulnerável;
  • Linha vulnerável;
  • Detalhes da vulnerabilidade;
  • Diretório do arquivo que está vulnerável.

Depois disso você irá utilizar o hash para realizar a classificação entre falso positivo ou risco aceito.

Por meio da CLI, você pode realizar a classificação por:

  • Flags;
  • Variáveis de ambiente;
  • Arquivo de configuração.

O mais recomendado é por meio de arquivo de configuração, como no exemplo abaixo:

{
  "horusecCliFalsePositiveHashes": [
    "HASH1",
    "HASH2"
  ],
  "horusecCliRiskAcceptHashes": [
    "HASH1",
    "HASH2"
  ]
}

Veja um exemplo completo utilizando flags:

2. Aplicação web

A classificação pela aplicação web é o meio mais recomendado, já que a CLI adquire as configurações que você realizou na interface gráfica e por isso você terá uma visão geral das vulnerabilidades, porém é necessário realizar a integração com um token de autorização para que a funcionalidade seja aplicada.

Agora, para classificar pela sua aplicação web, siga os passos:

Passo 1: Quando você realiza o login e escolhe o workspace na aplicação Web, você verá uma opção de vulnerabilidades no menu do lado esquerdo, como mostra a imagem abaixo:

Passo 2: Ao acessá-lo, você verá todas as vulnerabilidades encontradas na análise do repositório selecionado:

Passo 3: Agora, altere para o tipo que você deseja. Na próxima análise, o tipo dela será alterado:

Veja um exemplo completo utilizando a aplicação web:


Última modificação 20.05.2021: Hotfix/links (#69) (b237fe25)