PTT評價

[請益] 原始碼弱點掃描工具(ASP)

看板Soft_Job標題[請益] 原始碼弱點掃描工具(ASP)作者
kkzaq12wsx
(不在站上)
時間推噓 8 推:8 噓:0 →:29

各位前輩好
公司之前有承接一些古老的維護案,
用的語言是最舊的Classic ASP + VB Script。

最近客戶要求要進行原始碼弱點掃描(白箱測試),
不過google了幾套免費掃描軟體,似乎都不支援掃描ASP,
測試過Visual Code Grepper 跟 sonarqube,
都掃不出東西...囧rz

然後查了一些台灣有代理的付費軟體,價格都寫得有點含糊,
申請試用都有點麻煩。
例如 Checkmarx O-Scan之類的...


我的問題是...
1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具?

2.若是買台灣代理商的付費軟體,買來後是安裝在主機上,隨時想掃就掃嗎?
還是要透過對方公司協助掃描產出報告??
若是後者,感覺在修補弱點的時候有點麻煩,沒辦法馬上重掃看修補的結果...

3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?)

4.若是購買付費軟體,是否能夠拿來接幫別人弱掃的case? XD


以上問題,懇請前輩們解惑,感激不盡!




--

※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.171.123 (臺灣)
PTT 網址
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 00:44:53

SFGEX05/14 01:12新思的有考慮嗎

autonomic05/14 02:22CAT.NET好像可以

kkzaq12wsx05/14 13:03只要能夠掃純ASP的都可以 (非ASP.NET)

wyytw05/14 13:23就做一次的資安健檢,產報告後客戶可以修正弱點後,可再複

wyytw05/14 13:23掃。

steak556605/14 13:42coverity

查了一下似乎不支援 classic asp

gpctv05/14 13:50Fortify scan呢?

HP 那套嗎? 我查到疑似破百萬 直接略過了 囧

kwju05/14 14:072.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格

kwju05/14 14:074.不行,授權合約上有寫

FrancisC05/14 15:56不知/可/無/看授權

TAKADO05/14 17:543.無 4.看授權 。

TAKADO05/14 17:54要注意有些廠商說是有代理國外大廠,但專案型式掃一次多少

TAKADO05/14 17:54$,其實只是他家有裝一套,原始碼要給他幫你掃。

TAKADO05/14 17:55你建議先問客戶接受那幾個牌子的比較快,資安嚴謹的一點客

TAKADO05/14 17:55戶,能接受的牌子基本上都是6.7位數的產品。

客戶其實沒有要求品牌,免費的工具也可以(但至少要掃得到東西) 只是我目前試過的免費工具都沒辦法掃 純ASP >_<

※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:15:41 ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:40:19

sazabijiang05/15 13:08公司願意付費的話,可以問問資策會

sazabijiang05/15 13:08他們有提供弱點掃描服務

ChungLi556605/15 19:42客戶用哪套你們就買哪套 免得改完被退貨

ssccg05/15 22:58客戶要求叫客戶生啊,付費的一定產得出報告但也不見得是掃

ssccg05/15 23:00得出東西,客戶真的沒指定你們就人工掃人工作PDF報告吧

kkzaq12wsx05/17 00:58其實最早的確是客戶生的 (付費版的那種)

kkzaq12wsx05/17 00:59但後來客戶不買了,把弱掃的責任歸給外包廠商

kkzaq12wsx05/17 00:59還寫進新年度的合約哩,所以才會生出這種困擾 XD

ChungLi556605/18 09:13開發跟維運都有弱掃的責任

ssccg05/19 14:42弱掃只是一種工具,甚至不是完整的方法,哪來什麼責任

ssccg05/19 14:43目標是程式品質,code review是方法,弱掃最多也就是方便找

ssccg05/19 14:46review重點的工具而已

ssccg05/19 14:56合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告

ssccg05/19 14:58那乙方就有責任交出來,但是單就弱掃又不是必要的何況責任

kkzaq12wsx05/20 00:53抱歉~「責任」一詞可能我用詞不當,應該說是把弱點掃

kkzaq12wsx05/20 00:54描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了

kkzaq12wsx05/20 00:55當然也是聽說有人交了「掃不出來東西的報告」出去

kkzaq12wsx05/20 00:55工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD

fatfatgigi05/20 10:28以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改

kkzaq12wsx05/20 16:03請問樓上 有那種完全無解 只能換語言改寫的弱點嗎?

nickboy05/23 15:56Fortify對於舊式寫法非常不友善,包括ASP.Net,我相信ASP

nickboy05/23 15:57應該會更慘,我改了應該超過五萬個了