[請益] 原始碼弱點掃描工具(ASP)

SFGEX05/14 01:12新思的有考慮嗎

autonomic05/14 02:22CAT.NET好像可以

kkzaq12wsx05/14 13:03只要能夠掃純ASP的都可以 (非ASP.NET)

wyytw05/14 13:23就做一次的資安健檢，產報告後客戶可以修正弱點後，可再複

wyytw05/14 13:23掃。

steak556605/14 13:42coverity

gpctv05/14 13:50Fortify scan呢？

kwju05/14 14:072.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格

kwju05/14 14:074.不行,授權合約上有寫

FrancisC05/14 15:56不知／可／無／看授權

TAKADO05/14 17:543.無 4.看授權 。

TAKADO05/14 17:54要注意有些廠商說是有代理國外大廠，但專案型式掃一次多少

TAKADO05/14 17:54$，其實只是他家有裝一套，原始碼要給他幫你掃。

TAKADO05/14 17:55你建議先問客戶接受那幾個牌子的比較快，資安嚴謹的一點客

TAKADO05/14 17:55戶，能接受的牌子基本上都是6.7位數的產品。

sazabijiang05/15 13:08公司願意付費的話，可以問問資策會

sazabijiang05/15 13:08他們有提供弱點掃描服務

ChungLi556605/15 19:42客戶用哪套你們就買哪套 免得改完被退貨

ssccg05/15 22:58客戶要求叫客戶生啊，付費的一定產得出報告但也不見得是掃

ssccg05/15 23:00得出東西，客戶真的沒指定你們就人工掃人工作PDF報告吧

kkzaq12wsx05/17 00:58其實最早的確是客戶生的 (付費版的那種)

kkzaq12wsx05/17 00:59但後來客戶不買了，把弱掃的責任歸給外包廠商

kkzaq12wsx05/17 00:59還寫進新年度的合約哩，所以才會生出這種困擾 XD

ChungLi556605/18 09:13開發跟維運都有弱掃的責任

ssccg05/19 14:42弱掃只是一種工具，甚至不是完整的方法，哪來什麼責任

ssccg05/19 14:43目標是程式品質，code review是方法，弱掃最多也就是方便找

ssccg05/19 14:46review重點的工具而已

ssccg05/19 14:56合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告

ssccg05/19 14:58那乙方就有責任交出來，但是單就弱掃又不是必要的何況責任

kkzaq12wsx05/20 00:53抱歉~「責任」一詞可能我用詞不當，應該說是把弱點掃

kkzaq12wsx05/20 00:54描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了

kkzaq12wsx05/20 00:55當然也是聽說有人交了「掃不出來東西的報告」出去

kkzaq12wsx05/20 00:55工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD

fatfatgigi05/20 10:28以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改

kkzaq12wsx05/20 16:03請問樓上 有那種完全無解 只能換語言改寫的弱點嗎?

nickboy05/23 15:56Fortify對於舊式寫法非常不友善，包括ASP.Net，我相信ASP

nickboy05/23 15:57應該會更慘，我改了應該超過五萬個了