翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Q Developer のコードレビューでのコードの問題の重要度
Amazon Q は、コードで検出されたコードの問題の重要度を定義し、アプリケーションのセキュリティ体制に基づいて、対処し追跡する問題の優先順位をつけることができるようにします。以下のセクションでは、コードの問題の重要度の判断方法と、各重要度レベルが意味する方法について説明します。
重要度の算出方法
コードの問題の重要度は、問題を検出したディテクターによって決まります。Amazon Q Detector Library の各ディテクターには、共通脆弱性評価システム (CVSS
次の表は、悪意のある攻撃者がシステムを攻撃するために必要なアクセスレベルと労力のレベルに基づいて重要度がどのように決定されるかを示しています。
| アクセスのレベル | 労力レベル | 緊急度 |
|---|---|---|
| システムまたはその出力の完全なコントロール | システムへのアクセスが必要 | 高 |
| システムまたはその出力の完全なコントロール | 高レベルの労力によるインターネット | 重大 |
| システムまたはその出力の完全なコントロール | インターネット経由 | 重大 |
| 機密情報へのアクセス | システムへのアクセスが必要 | 中 |
| 機密情報へのアクセス | 高レベルの労力によるインターネット | 高 |
| 機密情報へのアクセス | インターネット経由 | 高 |
| システムがクラッシュまたは遅くなる可能性がある | システムへのアクセスが必要 | 低 |
| システムがクラッシュまたは遅くなる可能性がある | 高レベルの労力によるインターネット | 中 |
| システムがクラッシュまたは遅くなる可能性がある | インターネット経由 | 中 |
| 追加のセキュリティを提供する | 悪用不可 | 情報 |
| 追加のセキュリティを提供する | システムへのアクセスが必要 | 情報 |
| 追加のセキュリティを提供する | 高レベルの労力によるインターネット | 低 |
| 追加のセキュリティを提供する | インターネット経由 | 低 |
| ベストプラクティス | 悪用不可 | 情報 |
重要度の定義
重要度ラベルは次のように定義されています。
重大 - このコードの問題は、さらに悪化しないように直ちに修復する必要があります。
コードに関する重大な問題は、攻撃者がシステムをコントロールしたり、中程度の労力で動作を変更したりできることを示しています。重大な検出結果は、最大限の緊急性で対処することをお勧めします。また、リソースの重大度も考慮する必要があります。
高 - このコードの問題は短期的な優先事項として対処する必要があります。
重要度の高いコードの問題は、攻撃者がシステムをコントロールしたり、高い労力で動作を変更したりできることを示しています。重要度の高い検出結果は、短期的な優先度として扱い、すぐに修復手順を実行することをお勧めします。また、リソースの重大度も考慮する必要があります。
中 - このコードの問題は、中期的な優先事項として対処する必要があります。
重要度が中程度の検出結果は、クラッシュ、応答不能、またはシステムの利用不可につながる可能性があります。できるだけ早く、関連するリソースを調査することをお勧めします。また、リソースの重大度も考慮する必要があります。
低 - このコードの問題には、独自のアクションは必要ありません。
重要度が低い検出結果は、プログラミングエラーまたはアンチパターンを示しています。重要度の低い結果については、すぐにアクションを実行する必要はありませんが、他の問題と相関関係がある場合は、コンテキストを入手できます。
情報 – 推奨アクションはありません。
情報レベルの検出結果には、品質や読みやすさの向上、または代替 API 操作に関する提案が含まれます。すぐに対処する必要ありません。
