PTT職涯區 / Soft_Job (軟體人)

[請益] 原始碼弱點掃描工具(ASP)

看板Soft_Job (軟體人)作者 (不在站上)時間1年前 (2022/05/14 00:43), 1年前編輯推噓7(7028)
留言35則, 13人參與, 1年前最新討論串1/1
各位前輩好 公司之前有承接一些古老的維護案, 用的語言是最舊的Classic ASP + VB Script。 最近客戶要求要進行原始碼弱點掃描(白箱測試), 不過google了幾套免費掃描軟體,似乎都不支援掃描ASP, 測試過Visual Code Grepper 跟 sonarqube, 都掃不出東西...囧rz 然後查了一些台灣有代理的付費軟體,價格都寫得有點含糊, 申請試用都有點麻煩。 例如 Checkmarx O-Scan之類的... 我的問題是... 1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具? 2.若是買台灣代理商的付費軟體,買來後是安裝在主機上,隨時想掃就掃嗎? 還是要透過對方公司協助掃描產出報告?? 若是後者,感覺在修補弱點的時候有點麻煩,沒辦法馬上重掃看修補的結果... 3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?) 4.若是購買付費軟體,是否能夠拿來接幫別人弱掃的case? XD 以上問題,懇請前輩們解惑,感激不盡! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.171.123 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1652460203.A.734.html ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 00:44:53
05/14 01:12, 1年前 , 1F
新思的有考慮嗎
05/14 01:12, 1F
05/14 02:22, 1年前 , 2F
CAT.NET好像可以
05/14 02:22, 2F
05/14 13:03, 1年前 , 3F
只要能夠掃純ASP的都可以 (非ASP.NET)
05/14 13:03, 3F
05/14 13:23, 1年前 , 4F
就做一次的資安健檢,產報告後客戶可以修正弱點後,可再複
05/14 13:23, 4F
05/14 13:23, 1年前 , 5F
掃。
05/14 13:23, 5F
05/14 13:42, 1年前 , 6F
coverity
05/14 13:42, 6F
查了一下似乎不支援 classic asp
05/14 13:50, 1年前 , 7F
Fortify scan呢?
05/14 13:50, 7F
HP 那套嗎? 我查到疑似破百萬 直接略過了 囧
05/14 14:07, 1年前 , 8F
2.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格
05/14 14:07, 8F
05/14 14:07, 1年前 , 9F
4.不行,授權合約上有寫
05/14 14:07, 9F
05/14 15:56, 1年前 , 10F
不知/可/無/看授權
05/14 15:56, 10F
05/14 17:54, 1年前 , 11F
3.無 4.看授權 。
05/14 17:54, 11F
05/14 17:54, 1年前 , 12F
要注意有些廠商說是有代理國外大廠,但專案型式掃一次多少
05/14 17:54, 12F
05/14 17:54, 1年前 , 13F
$,其實只是他家有裝一套,原始碼要給他幫你掃。
05/14 17:54, 13F
05/14 17:55, 1年前 , 14F
你建議先問客戶接受那幾個牌子的比較快,資安嚴謹的一點客
05/14 17:55, 14F
05/14 17:55, 1年前 , 15F
戶,能接受的牌子基本上都是6.7位數的產品。
05/14 17:55, 15F
客戶其實沒有要求品牌,免費的工具也可以(但至少要掃得到東西) 只是我目前試過的免費工具都沒辦法掃 純ASP >_< ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:15:41 ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:40:19
05/15 13:08, 1年前 , 16F
公司願意付費的話,可以問問資策會
05/15 13:08, 16F
05/15 13:08, 1年前 , 17F
他們有提供弱點掃描服務
05/15 13:08, 17F
05/15 19:42, 1年前 , 18F
客戶用哪套你們就買哪套 免得改完被退貨
05/15 19:42, 18F
05/15 22:58, 1年前 , 19F
客戶要求叫客戶生啊,付費的一定產得出報告但也不見得是掃
05/15 22:58, 19F
05/15 23:00, 1年前 , 20F
得出東西,客戶真的沒指定你們就人工掃人工作PDF報告吧
05/15 23:00, 20F
05/17 00:58, 1年前 , 21F
其實最早的確是客戶生的 (付費版的那種)
05/17 00:58, 21F
05/17 00:59, 1年前 , 22F
但後來客戶不買了,把弱掃的責任歸給外包廠商
05/17 00:59, 22F
05/17 00:59, 1年前 , 23F
還寫進新年度的合約哩,所以才會生出這種困擾 XD
05/17 00:59, 23F
05/18 09:13, 1年前 , 24F
開發跟維運都有弱掃的責任
05/18 09:13, 24F
05/19 14:42, 1年前 , 25F
弱掃只是一種工具,甚至不是完整的方法,哪來什麼責任
05/19 14:42, 25F
05/19 14:43, 1年前 , 26F
目標是程式品質,code review是方法,弱掃最多也就是方便找
05/19 14:43, 26F
05/19 14:46, 1年前 , 27F
review重點的工具而已
05/19 14:46, 27F
05/19 14:56, 1年前 , 28F
合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告
05/19 14:56, 28F
05/19 14:58, 1年前 , 29F
那乙方就有責任交出來,但是單就弱掃又不是必要的何況責任
05/19 14:58, 29F
05/20 00:53, 1年前 , 30F
抱歉~「責任」一詞可能我用詞不當,應該說是把弱點掃
05/20 00:53, 30F
05/20 00:54, 1年前 , 31F
描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了
05/20 00:54, 31F
05/20 00:55, 1年前 , 32F
當然也是聽說有人交了「掃不出來東西的報告」出去
05/20 00:55, 32F
05/20 00:55, 1年前 , 33F
工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD
05/20 00:55, 33F
05/20 10:28, 1年前 , 34F
以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改
05/20 10:28, 34F
05/20 16:03, 1年前 , 35F
請問樓上 有那種完全無解 只能換語言改寫的弱點嗎?
05/20 16:03, 35F
更多 kkzaq12wsx 的文章
文章代碼(AID): #1YVeghSq (Soft_Job)
Soft_Job 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 kkzaq12wsx 的文章
文章代碼(AID): #1YVeghSq (Soft_Job)