Tableau Constatations

Ce tableau décrit les colonnes disponibles dans les tableaux de constatations. Si une colonne n'est pas disponible, elle est probablement cachée dans le tableau. Pour sélectionner une colonne pour affichage (ou exécuter toute autre tâche de personnalisation dans un tableau), suivez les instructions de la section Personnalisation du tableau de constatations.

Tableau 1. Tableau Constatations
En-tête de colonne Description
Trace Une icône dans cette colonne indique qu'il existe une trace pour les collecteurs perdus ou connus.
Gravité
  • Elevée : Pose un risque pour la confidentialité, l'intégrité et la disponibilité des données et/ou des ressources de traitement. Vous devriez affecter cette priorité aux conditions nécessitant une résolution immédiate.
  • Moyenne : Pose un risque pour la sécurité des données et l'intégrité des ressources mais la condition est moins susceptible de subir des attaques. Les conditions de gravité moyenne devraient être examinées et résolues dans la mesure du possible.
  • Faible : Pose un risque minime à la sécurité des données et à l'intégrité des ressources.
  • Info : La constatation elle-même ne présente pas de risque. Elle décrit plutôt les technologies, les caractéristiques de l'architecture ou les mécanismes de sécurité utilisés dans le code.
Classification Type de constatation : constatation de sécurité Définitive ou Suspectée - ou constatation de Couverture d'examen.
Remarque : Dans certains cas, la classification Aucun est utilisée pour indiquer une constatation qui n'est ni une constatation de sécurité ni une constatation de couverture d'examen.
Type de vulnérabilité Catégorie de la vulnérabilité, telle que Validation.Required ou Injection.SQL.
API Indique l'appel vulnérable, en présentant à la fois l'API et les arguments qui lui sont transmis.
Source Une source est une entrée du programme, telle qu'un fichier, une requête de servlet, une saisie depuis la console ou un socket. Dans le cas de la plupart des sources d'entrées, les données renvoyées ne sont pas limitées en termes de contenu et de longueur. Lorsqu'une entrée n'est pas vérifiée, elle est considérée comme entachée.
Collecteur un collecteur peut être un format externe quelconque dans lequel des données peuvent être consignées. Comme exemples de collecteurs, on peut citer des bases de données, des fichiers, des sorties console et des sockets. La consignation de données dans un collecteur sans leur vérification peut donner lieu à une vulnérabilité sérieuse de la sécurité.
Directory Chemin d'accès complet des fichiers analysés.
Fichier Nom du fichier de code dans lequel la constatation de sécurité ou la constatation de couverture d'examen survient. Les chemins de fichier dans les constatations sont relatifs au répertoire de travail du projet analysé.
Méthode d'appel Fonction (ou méthode) depuis laquelle l'appel vulnérable est effectué.
Ligne Numéro de la ligne dans le fichier de code contenant l'API vulnérable.
Groupement Groupement contenant cette constatation.
CWE ID et sujet du dictionnaire de faiblesses logicielles courantes développé par la communauté (rubriques CWE - Common Weakness Enumeration).