Door Anoniem: Google is hier blindt de enige in. Als ik een pentest rapport onder ogen krijg of de resultaten uit een verplichte tool, is dit ook een van de grootste problemen. Tools kunnen lang niet altijd de juiste versies van software bepalen waardoor je dus altijd opnieuw moet kijken waar het eigenlijk over gaat en of het wel klopt. Daarnaast zijn er “kwetsbaarheden” in libraries die zich alleen voordoen bij een bepaalde manier van gebruiken in de software, elke keer als je daar een melding over krijgt moet je weer controleren en uitleggen dat het een false positive is… Ja en dat hoort bij het vak dat je risico's afweegt en uitlegt wat geen risico is. En als je dat standaard verhaal van bekende false positives vervolgens in een profiel zet als exclude komen ze ook niet in je reports naar voren. Maar daar gaat het vaak mis bedrijven die te lui zijn hun quickscans bij te stellen bij de eerste run. Google kan nog zo mooie uitleg geven je moet per bedrijf afwegen wat wel en niet een risico is en niet ...