解释 IFA 结果

IFA 将确定来自 SAST 安全评估的最具可操作性的结果。

IFA 基于统计概率。机器学习有助于根据当前使用的培训集确定发现的安全影响概率。IFA 以三种方式表示安全影响的可能性,如下所示:
  • 要考虑的结果的百分比
  • 具有特定严重性的结果的百分比
  • 不考虑的结果的百分比

概率介于 0% 和 100% 之间。约接近 100%,IFA 对响应的有效性就越高。

在手动复审 IFA 结果时,概率可用作指南。每个结果的注释字段都包含有关应用于查找结果本身的概率的信息。查看“结果视图”中的注释或各种结果表中的备注列。

IFA 分两个阶段运行,如下所示:
  • 第 1 阶段使用预定义的排除过滤器将结果设置为不适用。可以修改或增强此筛选器列表。

    不考虑的结果设置有排除标志,并可以在 Source for Analysis 中的“已排除的结果”视图中查看。

  • 第 2 阶段对所有剩余结果使用受监督的机器学习技术,来确定结果是否可操作

    要考虑的和/或可操作的结果可以在 Source for Analysis 中的“结果”视图中查看。

在所有情况下,IFA 都会添加注释,说明为何在 IFA 最终评估中包括或排除该结果。查看“结果详细信息”视图中的注释,或其他视图中的结果表中的注释列。