山姆的假阳性是致命弱点还是萨姆森的头发?

by
误报是不可避免的,在每个软件应用测量系统中都会出现, 或多或少有些重要. 造成这种情况的原因有很多.

  • 首先,宝博体育app下载搜索的信息越多,假阳性的风险就越高.
  • 第二,搜索的信息越复杂,出错的风险就越高.
  • 和第三, 扫描代码的技术越简单, 产生不良结果的风险就越高.

在最后一个例子中, 常用的不同技术从简单的grep搜索到基于语法的解析不等, 语义解析, 和数据流分析.

然而, 这种情况可以从两种相反的观点看出来:消极的观点, considering that false positives are the Achilles’ heel of SAM; and a more positive one, 像山的头发, 认为假阳性是有价值的信息.

阿基里斯之踵

困惑分析软件应用程序影响测量结果时产生的误报, 使得风险评估越来越困难. 宝博体育app下载无法确定宝博体育app下载正在调查的违规行为是真是假, 即使宝博体育app下载预先知道某条规则的结果. 不可能知道假阳性可能在哪里,这对不得不使用它们的人来说是很烦人的.

它们的发生取决于测量本身, 也取决于被测量的应用程序的性质. 自从1990年开始SAM的工作以来,我已经多次经历过这种情况, 对你的结果产生怀疑是非常恼人的. 为了确定,我通常更喜欢对大量的案例进行反复检查. 但是有可能真的确定吗? 我认为不是. 宝博体育app下载只能越来越完善宝博体育app下载的分析技术.

通常, 我有一个关于违反质量规则的数量以及结果是否太多的想法, 那我很确定是假阳性. 这里的问题是假阳性导致了检查结果的时间浪费, 降低了对测量系统的信心. 此外, 当分析引擎得到改进并消除误报时, 用户可能会继续看到违规行为,并在不注意的情况下丢弃它们.

CAST-false-positives-list假阳性也会干扰应用程序的基准测试. 在进行这种类型的练习时,最好考虑错误率. 实际上,如果误报的数量过高,比较就会变得不一致. 在这种情况下,您如何知道与其他应用程序相比,结果是否正确地定位了某个应用程序?

具有不同特征的应用程序可能会产生不同数量的误报. 如果应用程序是通过使用生成误报的编程构造实现的, 那么,该应用程序的虚假违规总数将异常高于其他应用程序. 最后,这种比较是有偏见的.

参孙的头发

另一方面,让宝博体育app下载乐观一点! 有些措施比其他措施更复杂,需要付出昂贵的努力, 结果中出现假阳性总比没有结果要好. 地空导弹系统有其优势,也有其弱点!

有效地, 即使这个措施并不完美, 它让你知道情况是相当好还是相当戏剧性, 以及哪些组件会受到影响. 此外, 宝博体育app下载至少意识到,这一措施不那么容易采取,必须谨慎地解释其结果.

如果违规次数太多, 那么假阳性的数量也可能很高,并将在长列表中传播, 这意味着寻找它们将变得更加困难. 作为一个后果, 结果值与现实的不确定性变得重要,必须考虑到他们的工作时.

CAST-false-positives-3

但, 如果结果的数量不是太高, 假阳性对用户的工作影响有限. 有效地, 在这种情况下, 它们在违规列表中很容易看到,用户可以快速识别并过滤它们,以评估已评估的应用程序所引起的风险. 此外, 即使考虑到虚假违规, 一般情况下,对结果和结论影响不大.

和, 保持建设性的, 假阳性还意味着搜索的内容不那么容易找到,或者可能有多个方面. 这可以用来证明未来投资改善SAM系统是合理的!

提交: 软件分析
杰罗姆Chiampi
杰罗姆Chiampi 产品负责人
杰罗姆Chiampi是CAST的产品负责人,负责帮助客户利用软件智能产品来降低软件风险. 他在软件行业有20年的工作经验,是一名受过培训的软件开发工程师,擅长评估软件和应用程序安全.
加载更多的评论
谢谢你的评论! 你的审查必须首先得到批准
你已经提交了这个项目的评审
|
()