Issue

이슈 유형

이슈는 해당 이슈를 검출한 분석 엔진에 따라서 소스코드 이슈, 오픈소스 이슈, 웹취약점 이슈로 나눌 수 있습니다.

• 소스코드 이슈: 소스코드 분석을 통해 검출된 이슈입니다.

  • 보안 취약점: 소스코드에 잠재된 취약점 중 소프트웨어 보안과 관련된 문제입니다.

  • 품질 문제: 소스코드에 보안 문제를 발생시키지 않지만 품질 측면에서 검토해야 하는 문제입니다.

• 오픈소스 이슈: 오픈소스 분석을 통해 검출된 이슈입니다.

  • 취약한 컴포넌트: 오픈소스 컴포넌트 자체에서 취약점이 발견되었기 때문에 취약하다고 판단되는 문제입니다.

  • 라이선스: 컴포넌트에서 사용하는 오픈소스 라이선스가 포함된 문제입니다.

• 웹취약점 이슈: 웹취약점 분석을 통해 검출된 이슈입니다.

이슈 위험도

Sparrow Cloud는 프로젝트에서 검출된 최근 이슈를 위험한 정도에 따라 5단계로 구분합니다. 사용자는 위험도를 통해 검출된 이슈가 얼마나 위험한 문제인지를 파악할 수 있습니다. 예를 들어, 소스코드 이슈에서 매우 높음 위험도는 당장 해결해야 하는 시급한 문제를 가리키며, 매우 낮음은 보안이나 품질에 큰 영향을 미치지 않는 문제를 포함합니다.

이러한 위험도는 이슈를 검출하는 규칙의 위험도와 동일합니다. 위험도는 이슈 검출 규칙이 기초하고 있는 컴플라이언스 또는 가이드의 설명에 기반하여 지정됩니다. 가장 위험한 이슈부터 차례대로 매우 높음, 높음, 보통, 낮음, 매우 낮음과 같은 5개의 단계로 구분됩니다.

이슈 상태

이슈가 검출되면 해당 이슈를 확인하고 해결하거나, 오탐 또는 다른 원인으로 인해 이슈에서 제외하도록 처리해야 합니다. 이슈를 어떻게 처리했는지 표시하기 위해서 이슈마다 이슈 상태를 다음과 같이 표시합니다.

• 미확인: 담당자가 검출된 이슈를 아직 검토하지 않음.

• 확인: 담당자가 해당 이슈를 확인함.

• 해결: 담당자가 해당 이슈에서 발견된 문제를 해결함.

이슈 제외

검출된 이슈 중에는 잠재적으로 문제가 될 가능성이 있을 뿐 실제로 보안 취약점 혹은 품질 문제라고 볼 수 없는 경우가 있습니다. 이러한 경우 보안 진단 전문가라고 할 수 있는 사용자가 특정 이슈를 문제에서 제외시킬 수 있도록 만든 기능이 이슈 제외입니다.

이슈 상세 정보 페이지에 있는 이슈 제외 버튼을 클릭하면 이슈가 제외됩니다. 이 기능을 통해 제외된 이슈는 이슈 목록에 기본적으로 표시되지 않도록 필터링됩니다. 또한 제외된 이슈는 프로젝트에서 계산하는 이슈 수에도 포함되지 않습니다. 보고서에서도 이슈 수 및 이슈 상세 결과에 포함되지 않으며 제외된 이슈 정보라는 항목에 따로 표시됩니다.

이슈 제외 취소

앞서 제외한 이슈의 제외를 취소하려는 경우 이슈 목록에서 제외된 이슈를 표시하도록 필터를 설정한 다음 제외를 취소하려는 이슈의 상세 정보 페이지에 있는 제외 취소 버튼을 클릭하면 이슈 제외가 취소됩니다. 이렇게 이슈 제외가 취소된 이슈는 다시 이슈 수에 포함되고 보고서의 이슈 수 및 이슈 상세 결과에도 표시됩니다.

Issue type

Issues can be categorised as Source Issues, Open Source Issues, or Web App Issues, depending on the analysis engine that detected the issue.

• Code issues: Issues detected through code analysis.

  • Security vulnerability: A potential vulnerability in the source code that is related to software security.

  • Quality issues: Issues that do not cause security issues in the source code, but should be reviewed from a quality perspective.

• Open Source issues: Issues detected through open source analysis.

  • Vulnerable component: An issue that is considered vulnerable because a vulnerability has been found in the open source component itself.

  • Licence: Issues from the open source licence used by the component.

• Web app issues: Issues detected through web app analysis.

Issue risk

Sparrow Cloud categorises recent issues detected in your project into five levels of risk. The risk level gives users an idea of how dangerous a detected issue is. For example, in source code issues, a Very High risk level indicates urgent issues that need to be addressed immediately, while Very Low includes issues that do not have a significant impact on security or quality.

These risk levels are the same as the risk level of the rule that detects the issue. The risk level is assigned based on the description of the compliance or guidelines that the issue detection rule is based on. There are five levels of risk, starting with the most risky issues and moving up: Very High, High, Moderate, Low, and Very Low.

Issue status

When an issue is detected, it needs to be verified and resolved, or processed to exclude it from the issue due to false positives or other causes. To indicate how the issue has been handled, we display an issue status for each issue as follows

• Unchecked: The issue has not yet been reviewed by an assigned person.

• Checked: The issue has been reviewed by an assigned person.

• Resolved: The rep has resolved the issue found in the issue.

Exclude issues

Sometimes detected issues are only potentially problematic and not actually security vulnerabilities or quality issues. In these cases, the Issue Exclusion allows users who are experts in security diagnostics to exclude certain issues from the problem.

To exclude an issue, click the Exclude issue button on the issue detail page. Issues excluded through this action are filtered out at default on the list, not included in the number of recent issues presented on the project summary, and not included in the chapters of the number of issues or issue details as well: to check the excluded issues, users need to set a filter on the list or go to chapters of Excluded issues on the report.

Include issues

If you want to cancel excluding issues and rejoin them to the list, set the filter to show the Excluded issues, and click Include Issue button on the bottom of the detailed slide of the excluded issues. After including the issues, they will be joined to the number of issues and shown on the chapters of the numbers and issue detail pages on the report.