Como classificar uma vulnerabilidade?
Por que classificar uma vulnerabilidade?
O Horusec é uma ferramenta SAST e pode ser que você encontre alguma vulnerabilidade que, de fato, não seja.
Por exemplo, um arquivo de teste que você deseja verificar se a conexão com o banco de dados está sendo realizada da forma correta. Por ser cenário de teste o Horusec irá acusar essa vulnerabilidade. Para evitar essa situação, você precisar fazer a classificação dela a fim de ignorar essa vulnerabilidade específica.
Tipos de Classificação
-
Falso positivo
- A vulnerabilidade encontrada está errada, pois está sendo acusada em um arquivo de teste ou não é uma vulnerabilidade de fato e sim um código seguro.
-
Risco aceito
- A vulnerabilidade foi acusada, mas no momento você não tem a opção de realizar uma correção, então ela será classificada como um risco aceito para seguir o processo do dia a dia.
-
Corrigida.
- A vulnerabilidade já não existe e pode ser considerada como corrigida.
-
Vulnerabilidade
- Uma possível falha de segurança foi encontrada e acusada na análise.
Como classificar?
Há dois modos de classificação no Horusec, veja:
1. CLI
Com a CLI, você pode realizar uma classificação rápida sobreescrevendo o que foi configurado pela aplicação web. Só que a classificação não será refletida na sua aplicação web, ela vale somente no local que a análise foi realizada.
Quando uma análise termina, você receberá a referência de um hash única para cada vulnerabilidade que significa:
- Código vulnerável;
- Linha vulnerável;
- Detalhes da vulnerabilidade;
- Diretório do arquivo que está vulnerável.
Depois disso você irá utilizar o hash para realizar a classificação entre falso positivo
ou risco aceito
.
Por meio da CLI, você pode realizar a classificação por:
- Flags;
- Variáveis de ambiente;
- Arquivo de configuração.
O mais recomendado é por meio de arquivo de configuração, como no exemplo abaixo:
{
"horusecCliFalsePositiveHashes": [
"HASH1",
"HASH2"
],
"horusecCliRiskAcceptHashes": [
"HASH1",
"HASH2"
]
}
Veja um exemplo completo utilizando flags:
2. Aplicação web
A classificação pela aplicação web é o meio mais recomendado, já que a CLI adquire as configurações que você realizou na interface gráfica e por isso você terá uma visão geral das vulnerabilidades, porém é necessário realizar a integração com um token de autorização para que a funcionalidade seja aplicada.
Agora, para classificar pela sua aplicação web, siga os passos:
Passo 1: Quando você realiza o login e escolhe o workspace na aplicação Web, você verá uma opção de vulnerabilidades no menu do lado esquerdo, como mostra a imagem abaixo:
Passo 2: Ao acessá-lo, você verá todas as vulnerabilidades encontradas na análise do repositório selecionado:
Passo 3: Agora, altere para o tipo que você deseja. Na próxima análise, o tipo dela será alterado:
Veja um exemplo completo utilizando a aplicação web:
Feedback
Was this page helpful?
Glad to hear it! Please tell us how we can improve.
Sorry to hear that. Please tell us how we can improve.