OpenScanHub:誤検出を除外し、セキュリティ分析を最適化する実践的ガイド
OpenScanHub を活用して、セキュリティ分析の精度を向上させるための具体的な方法を解説します。重要な情報に焦点を当て、誤検出を効果的に管理し、真陽性の発見に集中できるように、具体的な手順とベストプラクティスを提供します。
誤検出の管理:セキュリティ分析の効率化
セキュリティ分析において、誤検出は時間とリソースの浪費につながります。OpenScanHub は、誤検出を自動的に抑制する機能を提供し、分析の効率性を向上させます。
- known-false-positives リポジトリの活用:
- 誤検出と確信できる結果のみをこのリポジトリに登録します。
- これにより、将来的に真のセキュリティ問題を見落とすリスクを減らすことができます。
真陽性の管理:一時的な抑制と優先順位付け
修正作業中、リスク許容、または修正不要と判断された真陽性を一時的に抑制することができます。
- true-positives-ignore.err ファイルの活用:
- 特定の真陽性を抑制するために、
${PKG_NAME}/true-positives-ignore.errファイルを使用します。 - このファイルは
*/ignore.errファイルと同様に機能し、OpenScanHub は指定された結果を抑制します。 - 開発者は、このファイルを常に最新の状態に保つ責任があります。
- 特定の真陽性を抑制するために、
テストディレクトリの除外:ノイズの削減
テストプログラムのソースコードには、意図的にバグが含まれている場合があります。これらのディレクトリを分析から除外することで、ノイズを減らし、重要な問題に集中できます。
- exclude-paths.txt ファイルの活用:
${PKG_NAME}/exclude-paths.txtファイルを使用して、分析から除外するソースディレクトリのリストを指定します。- 各行は、除外するソースパスを指定する拡張正規表現を含みます。
- 例:
protobuf/exclude-paths.txt
ローカルフィルタの適用:レビュー効率の向上
既知の誤検出を抑制した後、残りのレビュー対象を絞り込むために、csfilter-kfp ツールを使用できます。 Fedora および EPEL で利用可能な csdiff パッケージに含まれています。
OpenScanHub を最大限に活用するために
OpenScanHub の機能を最大限に活用することで、セキュリティ分析の精度を向上させ、開発ワークフローを効率化することができます。これらの実践的なガイドラインに従って、誤検出の管理、真陽性の優先順位付け、テストディレクトリの除外を行うことで、セキュリティリスクを効果的に軽減してください。