Re: [討論] Checkmarx 和 Fortify...

首先

弱點掃描是指對你已經啟動的程式
針對提供服務的網路port或是作業系統探測
確認是否有已知弱點
常見的工具是nessus openvas

至於你問的工具

Fortify跟checkmarx 是靜態程式掃描
掃的是你的程式碼

Checkmarx真的很爛 尤其是要編譯的程式語言
基本上他只能抓sqli xss 之類的pattern match可以抓到的弱點
還不如用sonarcube 可是大公司不知道差別 都只會選checkmarx

Fortify跟coverity還有klocworks 對編譯的程式語言就友善多了

我前幾份工作是在券商維護c/c++交易系統
大概會都會評估coverity或klocworks
只是這兩套真的超貴
目前知道櫃買中心 期交所 聯發科都用coverity
報告會檢查MISRA 規則

以前還有一套parasoft c++test 可是台灣沒有代理商 不然也蠻好用

不過有點好奇在GEN AI出來後 這些工具有沒有什麼轉變

像是調整生成的code或是能抓到更多類型的弱點
※ 引述《jej (賊一賊)》之銘言：
: 如題啊
: 資安意識越來越高的現代
: 你各位寫程式的碼農
: 一定有被弱點掃描軟體惡搞過
: 這篇是來討論
: 你各位覺得哪套弱點掃描軟體好？
: 我個人只有經歷
: Checkmarx和Fortify這兩套
: 個人覺得Checkmarx很爛
: 用他裡面的解決範例
: 還跑出Critical Issue
: 而且設定白名單
: 還遠遠不如Fortify方便
: 想問版上
: 有推薦哪套弱點掃描軟體

-----
Sent from JPTT on my iPhone

--

對 我打錯了 感謝