看板 Soft_Job
標題
[請益] 原始碼弱點掃描工具(ASP)
作者 kkzaq12wsx
時間 2022/05/14 00:43:19
人氣 推:8 噓:0 留言:37
分享給朋友
各位前輩好 公司之前有承接一些古老的維護案, 用的語言是最舊的Classic ASP + VB Script。 最近客戶要求要進行原始碼弱點掃描(白箱測試), 不過google了幾套免費掃描軟體,似乎都不支援掃描ASP, 測試過Visual Code Grepper 跟 sonarqube, 都掃不出東西...囧rz 然後查了一些台灣有代理的付費軟體,價格都寫得有點含糊, 申請試用都有點麻煩。 例如 Checkmarx O-Scan之類的... 我的問題是... 1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具? 2.若是買台灣代理商的付費軟體,買來後是安裝在主機上,隨時想掃就掃嗎? 還是要透過對方公司協助掃描產出報告?? 若是後者,感覺在修補弱點的時候有點麻煩,沒辦法馬上重掃看修補的結果... 3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?) 4.若是購買付費軟體,是否能夠拿來接幫別人弱掃的case? XD 以上問題,懇請前輩們解惑,感激不盡! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.171.123 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1652460203.A.734.html ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 00:44:53
SFGEX: 新思的有考慮嗎 05/14 01:12
autonomic: CAT.NET好像可以 05/14 02:22
kkzaq12wsx: 只要能夠掃純ASP的都可以 (非ASP.NET) 05/14 13:03
wyytw: 就做一次的資安健檢,產報告後客戶可以修正弱點後,可再複 05/14 13:23
wyytw: 掃。 05/14 13:23
steak5566: coverity 05/14 13:42
查了一下似乎不支援 classic asp
gpctv: Fortify scan呢? 05/14 13:50
HP 那套嗎? 我查到疑似破百萬 直接略過了 囧
kwju: 2.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格 05/14 14:07
kwju: 4.不行,授權合約上有寫 05/14 14:07
FrancisC: 不知/可/無/看授權 05/14 15:56
TAKADO: 3.無 4.看授權 。 05/14 17:54
TAKADO: 要注意有些廠商說是有代理國外大廠,但專案型式掃一次多少 05/14 17:54
TAKADO: $,其實只是他家有裝一套,原始碼要給他幫你掃。 05/14 17:54
TAKADO: 你建議先問客戶接受那幾個牌子的比較快,資安嚴謹的一點客 05/14 17:55
TAKADO: 戶,能接受的牌子基本上都是6.7位數的產品。 05/14 17:55
客戶其實沒有要求品牌,免費的工具也可以(但至少要掃得到東西) 只是我目前試過的免費工具都沒辦法掃 純ASP >_< ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:15:41 ※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:40:19
sazabijiang: 公司願意付費的話,可以問問資策會 05/15 13:08
sazabijiang: 他們有提供弱點掃描服務 05/15 13:08
ChungLi5566: 客戶用哪套你們就買哪套 免得改完被退貨 05/15 19:42
ssccg: 客戶要求叫客戶生啊,付費的一定產得出報告但也不見得是掃 05/15 22:58
ssccg: 得出東西,客戶真的沒指定你們就人工掃人工作PDF報告吧 05/15 23:00
kkzaq12wsx: 其實最早的確是客戶生的 (付費版的那種) 05/17 00:58
kkzaq12wsx: 但後來客戶不買了,把弱掃的責任歸給外包廠商 05/17 00:59
kkzaq12wsx: 還寫進新年度的合約哩,所以才會生出這種困擾 XD 05/17 00:59
ChungLi5566: 開發跟維運都有弱掃的責任 05/18 09:13
ssccg: 弱掃只是一種工具,甚至不是完整的方法,哪來什麼責任 05/19 14:42
ssccg: 目標是程式品質,code review是方法,弱掃最多也就是方便找 05/19 14:43
ssccg: review重點的工具而已 05/19 14:46
ssccg: 合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告 05/19 14:56
ssccg: 那乙方就有責任交出來,但是單就弱掃又不是必要的何況責任 05/19 14:58
kkzaq12wsx: 抱歉~「責任」一詞可能我用詞不當,應該說是把弱點掃 05/20 00:53
kkzaq12wsx: 描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了 05/20 00:54
kkzaq12wsx: 當然也是聽說有人交了「掃不出來東西的報告」出去 05/20 00:55
kkzaq12wsx: 工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD 05/20 00:55
fatfatgigi: 以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改 05/20 10:28
kkzaq12wsx: 請問樓上 有那種完全無解 只能換語言改寫的弱點嗎? 05/20 16:03
nickboy: Fortify對於舊式寫法非常不友善,包括ASP.Net,我相信ASP 05/23 15:56
nickboy: 應該會更慘,我改了應該超過五萬個了 05/23 15:57
分享給朋友
近期熱門文章
Soft_Job熱門文章
分享給朋友