As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Severidade do problema de código nas revisões de código do Amazon Q Developer
O Amazon Q define a severidade dos problemas de código detectados no código para que você possa priorizar quais problemas resolver e monitorar a postura de segurança da sua aplicação. As seções a seguir explicam quais métodos são usados para determinar a severidade dos problemas de código e o que cada nível de severidade significa.
Como a severidade é calculada
A severidade de um problema de código é determinada pelo detector que gerou o problema. Cada detector no Amazon Q Detector Library é atribuído uma severidade usando o sistema de pontuação de vulnerabilidades comuns (CVSS
A tabela a seguir descreve como a severidade é determinada com base no nível de acesso e no nível de esforço necessários para um agente mal-intencionado atacar um sistema com sucesso.
| Nível de acesso | Nível de esforço | Gravidade |
|---|---|---|
| Controle total do sistema ou de sua saída | Requer acesso ao sistema | Alto |
| Controle total do sistema ou de sua saída | Internet com alto nível de esforço | Crítico |
| Controle total do sistema ou de sua saída | Pela internet | Crítico |
| Acesso a informações confidenciais | Requer acesso ao sistema | Médio |
| Acesso a informações confidenciais | Internet com alto nível de esforço | Alto |
| Acesso a informações confidenciais | Pela internet | Alto |
| Pode travar ou deixar o sistema lento | Requer acesso ao sistema | Baixo |
| Pode travar ou deixar o sistema lento | Internet com alto nível de esforço | Médio |
| Pode travar ou deixar o sistema lento | Pela internet | Médio |
| Fornece segurança adicional | Não explorável | Informações |
| Fornece segurança adicional | Requer acesso ao sistema | Informações |
| Fornece segurança adicional | Internet com alto nível de esforço | Baixo |
| Fornece segurança adicional | Pela internet | Baixo |
| Prática recomendada | Não explorável | Informações |
Definições de severidade
Os níveis de severidade são definidos da forma a seguir.
Crítico: o problema do código deve ser resolvido imediatamente para evitar que se agrave.
Problemas críticos de código sugerem que um invasor pode obter o controle do sistema ou modificar seu comportamento com esforço moderado. É recomendável que você trate as descobertas críticas com urgência. Você também deve considerar a importância do recurso.
Alto: o problema do código deve ser tratado como prioridade de curto prazo.
Problemas de código de alta severidade sugerem que um invasor pode obter o controle do sistema ou modificar seu comportamento com grande esforço. É recomendável que você trate uma descoberta de alta severidade como uma prioridade de curto prazo e que tome medidas de correção imediatas. Você também deve considerar a importância do recurso.
Médio: o problema de código deve ser tratado como uma prioridade de médio prazo.
Descobertas de severidade média podem levar a falhas, falta de resposta ou indisponibilidade do sistema. É recomendável que você investigue o código implicado o mais rápido possível. Você também deve considerar a importância do recurso.
Baixo: o problema do código não requer ação por conta própria.
Descobertas de baixa severidade sugerem erros de programação ou antipadrões. Você não precisa tomar medidas imediatas em relação às descobertas de baixa severidade, mas elas podem fornecer contexto quando você as correlaciona com outros problemas.
Informativo: nenhuma ação recomendada.
As descobertas informativas incluem sugestões para melhorias de qualidade ou legibilidade, ou operações alternativas de API. Nenhuma ação imediata é necessária.
