Investigate False Positives (FP)

OWASP Vulnerability Management Guide (OVMG) - June 1, 2020 
15 
3.3.3 
Document all FP 
submissions
Documenting false positives should be a part of the process. You can use your 
ticketing system; you can use your testing tool, or both, whichever would 
maintain an auditable trail. Be aware of the balance of transparency and 
confidentiality: include the parties 
on “a need to know basis.”
3.3.4 
Find a SMEs who can agree 
or argue a false positive 
claim 
Find a third party who can confirm or disprove the claim. Find an SME outside 
of your organization and ask him/her to comment on the issue without 
revealing the sensitive details. 
3.3.5 
Set a time frame at which FP 
should be reevaluated 
It could be six months or a year. Use your legal and compliance guidelines to 
establish the time frame.
3.3.6 
Document each FP and 
store it in an auditable 
repository 
You can store it on a shared drive, as long as it remains confidential, just be 
aware of your sharing settings. Could they be modified without you knowing it?
3.3.7
Create an appropriate policy 
Once you have a consensus on the process with your immediate players, you 
should codify some principal points in your vulnerability management policy. 
3.3.8 
Communicate this policy to 
all employees 
How to do this should be specified by your organizational governance. 
End Goal: establish ground rules for how a vulnerability is evaluated as a false positive. Review evidence on a case-by-
case basis. Periodically revisit and revise false-positive cases. The process should be transparent and not be abused.
3.4 Exceptions 

Yüklə 1,27 Mb.

Dostları ilə paylaş: