[討論] Checkmarx 和 Fortify...
如題啊
資安意識越來越高的現代
你各位寫程式的碼農
一定有被弱點掃描軟體惡搞過
這篇是來討論
你各位覺得哪套弱點掃描軟體好?
我個人只有經歷
Checkmarx和Fortify這兩套
個人覺得Checkmarx很爛
用他裡面的解決範例
還跑出Critical Issue
而且設定白名單
還遠遠不如Fortify方便
想問版上
有推薦哪套弱點掃描軟體
--
※ PTT 留言評論
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.32.134.47 (臺灣)
※ PTT 網址
推
如果是有規模的公司 這不是個人能決定的吧
推
SAST+SCA 很多大廠的solution
→
SonarQube 之類的
→
能掃描的太多款了,但是能快速解掃出來的issue的?
→
都很爛,PG有基本資安常識的話掃這個基本就只是要一個報告
→
解issue都假的,加白名單後報告不要留下痕跡才是真的
推
Checkmarx 很煩,用到的 package 裡附的範例都報,也不
→
管實際上有沒有用到會不會跑到
推
掃出來的報告能過資安認證都好
→
實體隔離斷網就好,資訊只進不出,一堆公司這樣。
→
自由心證囉 一堆項目修了工具掃完還是認為不安全 最
→
後只能藏弱點讓報告呈現0
→
不然再修下去連自己都看不懂code
40
[問卦] 台灣不是科技之島,怎麼資安爛成這樣?台灣不是號稱矽盾,科技之島 阿怎麼資安爛成這樣?台灣不是一堆資安人才嗎? 別說專業資安人才就連一般MIS都知道資安的重要性 MIS雖然對資安不一定專精,但好歹都有學過資安的基礎觀念吧 MIS發現資安漏洞通常會向上通報,並請軟體工程師盡快修補13
[討論] 大谷會不會只會越來越強在投手站在投手球時 必須熟知打者弱點才能順利解決打者 當然打擊者也是 必須熟知投手弱點才可砲轟投手 就像科技業軟體硬體一樣14
[Vivy] AI有裝防毒軟體嗎?第四、五集雷 在旭日上跟伊莉莎白對決時,由於松本灌的病毒,伊莉莎白因此落敗 還有第五集博士做的噬菌體,灌給M之後雖然一開始看起來有效,還是因為不明原因暴走 你各位的電腦應該都會裝防毒軟體吧![[Vivy] AI有裝防毒軟體嗎?](https://i.imgur.com/vGh8BVvb.png "[Vivy] AI有裝防毒軟體嗎?")
8
[請益] 原始碼弱點掃描工具(ASP)各位前輩好 公司之前有承接一些古老的維護案, 用的語言是最舊的Classic ASP + VB Script。 最近客戶要求要進行原始碼弱點掃描(白箱測試), 不過google了幾套免費掃描軟體,似乎都不支援掃描ASP,6
Re: [請益] 非本科,對於資訊組工作的疑問。雖然有些機關需要辦採購 不要傻傻以為只要熟採購法就夠了 也有機關的資訊人員基本設備維護(印表機,PC)要會 DB維護要會,要會下SQL製作一些報表 雖然核心程式通常會委外外包給廠商做5
[程式] cheat engine使用問題(以天結二為例)以前都從來沒用過CE款軟體,昨天自己摸索了半天有成功使用 但是今天在用時卻無法找到數值,求詳細教學 天結二我看說明是要用CE7.2才能修改,另外還要轉日區,這兩點我都有用 請問我要修改我是要點哪個程式呢?還是都沒差,因為我點下去都是跑出一樣的程式![[程式] cheat engine使用問題(以天結二為例)](https://i.imgur.com/KXd4guSb.jpg "[程式] cheat engine使用問題(以天結二為例)")
X
[問卦] 這樣算是指鹿為馬的現代版嗎?最近中午常跟朋友吃飯聊天。這次是另一位朋友啦。 朋友正在某公營老行庫進行一個專案。 朋友用的筆電是 MacBook Pro。 有天,銀行的資安人員A來告知朋友說「我們的資安軟體掃描到你的筆電是 Windows 7。 按規定 Windows 7不可接上行內的網路。」1
[討論] 你們公司用什麼SAST tool?我們目前是用 Coverity ,引擎很強但介面稍嫌陽春 過了好幾年也只有改配色而已,但是對於新語言的支援滿即時的 Kotlin Go 等一直有在追加,整合方面就基本CLI指令套一套,不會太複雜 有聽說 Veracode 以及 Checkmarx 也蠻強的,不知道有沒有人兩套都用過? 還蠻好奇的X
[請益] 軟體我重新擬稿 請再看看 誤刪檔案 嘗試以某軟體掃描 找到的檔案大小總合卻遠大於未使用空間
Re: [問卦] 黑熊學院 中共打來時要做什麼?一旦戰爭開始,動員部分後備軍人 (依經驗,先徵召退伍年數比較短的) 這時候,會跳過黑熊學院的成員嗎? (不會的) 不要有太多幻想與期望 所謂的「教民防」,應該是拿了政府的經費,做點績效 (成果照片) 交錢去上課..... 那就看你覺得學到的東西是否有價值囉