解读扫描程序工具中的警报

若要正确解释扫描工具的结果，需要注意一些方面：

• 误报 找出扫描结果中的真正漏洞至关重要。 该工具是一种自动扫描方式，可能误解了特定漏洞。 在处理扫描结果时，请注意某些发现可能不正确。 这种结果被称为false positives，是通过人类的解释和专业技能建立的。 不得过于武断将结果声明为误报。 另一方面，不保证扫描结果 100% 准确。
• 安全 bug 栏：最有可能的情况是，会检测到许多安全漏洞，其中一些是 ，但仍有许多发现。false positives 鉴于一定的时间和金钱，通常可以处理或缓解更多的发现。 在这种情况下，必须有一个安全漏洞标准，指示在安全风险足够可接受，能够将软件投入生产环境之前必须修复的漏洞级别。 Bug 栏确保明确了必须处理哪些操作，以及如果还有时间和资源，可以执行哪些操作。

工具扫描的结果将是选择在将软件视为稳定且完成之前尚待完成的工作的基础。

通过在“完成的定义”中设置一个安全 bug 栏并指定允许的许可等级，可以使用扫描报告找到开发团队的工作。