Re: [討論] Checkmarx 和 Fortify...
首先
弱點掃描是指對你已經啟動的程式
針對提供服務的網路port或是作業系統探測
確認是否有已知弱點
常見的工具是nessus openvas
至於你問的工具
Fortify跟checkmarx 是靜態程式掃描
掃的是你的程式碼
Checkmarx真的很爛 尤其是要編譯的程式語言
基本上他只能抓sqli xss 之類的pattern match可以抓到的弱點
還不如用sonarcube 可是大公司不知道差別 都只會選checkmarx
Fortify跟coverity還有klocworks 對編譯的程式語言就友善多了
我前幾份工作是在券商維護c/c++交易系統
大概會都會評估coverity或klocworks
只是這兩套真的超貴
目前知道櫃買中心 期交所 聯發科都用coverity
報告會檢查MISRA 規則
以前還有一套parasoft c++test 可是台灣沒有代理商 不然也蠻好用
不過有點好奇在GEN AI出來後 這些工具有沒有什麼轉變
像是調整生成的code或是能抓到更多類型的弱點
※ 引述《jej (賊一賊)》之銘言:
: 如題啊
: 資安意識越來越高的現代
: 你各位寫程式的碼農
: 一定有被弱點掃描軟體惡搞過
: 這篇是來討論
: 你各位覺得哪套弱點掃描軟體好?
: 我個人只有經歷
: Checkmarx和Fortify這兩套
: 個人覺得Checkmarx很爛
: 用他裡面的解決範例
: 還跑出Critical Issue
: 而且設定白名單
: 還遠遠不如Fortify方便
: 想問版上
: 有推薦哪套弱點掃描軟體
-----
Sent from JPTT on my iPhone
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.140.191.178 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1737863566.A.F37.html
※ 編輯: soheadsome (223.140.191.178 臺灣), 01/26/2025 11:55:30
→
01/26 12:23,
1天前
, 1F
01/26 12:23, 1F
推
01/26 14:02,
23小時前
, 2F
01/26 14:02, 2F
對 我打錯了 感謝
※ 編輯: soheadsome (223.140.191.178 臺灣), 01/26/2025 14:12:36
推
01/26 14:57,
22小時前
, 3F
01/26 14:57, 3F
→
01/26 14:57,
22小時前
, 4F
01/26 14:57, 4F
推
01/27 01:09,
12小時前
, 5F
01/27 01:09, 5F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 3 篇):
Soft_Job 近期熱門文章
PTT職涯區 即時熱門文章