Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Amazon Q define la gravedad de los problemas de código detectados en su código para que pueda priorizar los problemas que se deben abordar y realizar un seguimiento del estado de seguridad de su aplicación. En las siguientes secciones se explican los métodos que se utilizan para determinar la gravedad de los problemas de código y qué significa cada nivel de gravedad.
¿Cómo se calcula la gravedad
La gravedad de un problema con el código viene determinada por el detector que lo generó. A cada detector de la biblioteca de detectores Amazon Q se le asigna una gravedad mediante el Common Vulnerability Scoring System (CVSS
En la siguiente tabla se describe cómo se determina la gravedad en función del nivel de acceso y el nivel de esfuerzo necesarios para que un delincuente ataque con éxito un sistema.
| Nivel de esfuerzo | ||||
|---|---|---|---|---|
| No explotable | Requiere acceso al sistema | Internet con alto nivel de PoE | A través de internet | |
|
Nivel de acceso |
||||
| Control total del sistema o su salida | N/A | Alto | Crítica | Critico |
| Acceso a información confidencial | N/A | Medio | Alto | Alto |
| Puede bloquear o ralentizar el sistema | Bajo | Bajo | Medio | Medio |
| Proporciona seguridad adicional | Información | Información | Bajo | Bajo |
| Práctica recomendada | Información | N/A | N/A | N/A |
Definiciones de gravedad
Los niveles de gravedad se definen de la siguiente manera.
Crítico: el problema con el código debe abordarse de inmediato para evitar que se agrave.
Los problemas críticos de código sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un esfuerzo moderado. Se recomienda tratar los hallazgos críticos con la máxima urgencia. También debe tener en cuenta la criticidad del recurso.
Alto: la cuestión del código debe abordarse como una prioridad a corto plazo.
Los problemas de código de alta gravedad sugieren que un atacante puede hacerse con el control del sistema o modificar su comportamiento con un gran esfuerzo. Se recomienda tratar los hallazgos de alta gravedad como una prioridad a corto plazo y tomar medidas correctivas de inmediato. También debe tener en cuenta la criticidad del recurso.
Medio: el problema del código debe abordarse como una prioridad a medio plazo.
Los hallazgos de gravedad media pueden provocar un bloqueo, una falta de respuesta o una falta de disponibilidad del sistema. Se recomienda que investigue el código implicado lo antes posible. También debe tener en cuenta la criticidad del recurso.
Bajo: el problema con el código no requiere ninguna acción por sí solo.
Los resultados de baja gravedad sugieren errores de programación o antipatrones. No es necesario tomar medidas inmediatas ante los resultados de baja gravedad, pero pueden proporcionar un contexto si los correlacionas con otros problemas.
Informativo: no se recomienda ninguna acción.
Los resultados informativos incluyen sugerencias para mejorar la calidad o la legibilidad o realizar API operaciones alternativas. No es necesaria ninguna acción inmediata.
