[請益] 原始碼弱點掃描工具(ASP)

看板 Soft_Job

作者 kkzaq12wsx (不在站上)

時間 2022-05-14 00:43:19

留言 37 ( 8推 0噓 29→ )

回文 1則

各位前輩好公司之前有承接一些古老的維護案，用的語言是最舊的Classic ASP + VB Script。最近客戶要求要進行原始碼弱點掃描(白箱測試)，不過google了幾套免費掃描軟體，似乎都不支援掃描ASP，測試過Visual Code Grepper 跟 sonarqube，都掃不出東西...囧rz 然後查了一些台灣有代理的付費軟體，價格都寫得有點含糊，申請試用都有點麻煩。例如 Checkmarx O-Scan之類的... 我的問題是... 1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具? 2.若是買台灣代理商的付費軟體，買來後是安裝在主機上，隨時想掃就掃嗎? 還是要透過對方公司協助掃描產出報告?? 若是後者，感覺在修補弱點的時候有點麻煩，沒辦法馬上重掃看修補的結果... 3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?) 4.若是購買付費軟體，是否能夠拿來接幫別人弱掃的case? XD 以上問題，懇請前輩們解惑，感激不盡! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.171.123 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1652460203.A.734.html

回文

[請益] 原始碼弱點掃描工具(ASP)

8 37 soft_job kkzaq12wsx

2022-05-14 00:43:19

留言

※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 00:44:53

推 SFGEX 新思的有考慮嗎 05/14 01:12 1F

推 autonomic CAT.NET好像可以 05/14 02:22 2F

→ kkzaq12wsx 只要能夠掃純ASP的都可以 (非ASP.NET) 05/14 13:03 3F

推 wyytw 就做一次的資安健檢，產報告後客戶可以修正弱點後，可再複 05/14 13:23 4F

→ wyytw 掃。 05/14 13:23 5F

推 steak5566 coverity 05/14 13:42 6F

查了一下似乎不支援 classic asp

→ gpctv Fortify scan呢？ 05/14 13:50 7F

HP 那套嗎? 我查到疑似破百萬直接略過了囧

→ kwju 2.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格 05/14 14:07 8F

→ kwju 4.不行,授權合約上有寫 05/14 14:07 9F

推 FrancisC 不知／可／無／看授權 05/14 15:56 10F

推 TAKADO 3.無 4.看授權。 05/14 17:54 11F

→ TAKADO 要注意有些廠商說是有代理國外大廠，但專案型式掃一次多少 05/14 17:54 12F

→ TAKADO $，其實只是他家有裝一套，原始碼要給他幫你掃。 05/14 17:54 13F

→ TAKADO 你建議先問客戶接受那幾個牌子的比較快，資安嚴謹的一點客 05/14 17:55 14F

→ TAKADO 戶，能接受的牌子基本上都是6.7位數的產品。 05/14 17:55 15F

客戶其實沒有要求品牌，免費的工具也可以(但至少要掃得到東西) 只是我目前試過的免費工具都沒辦法掃純ASP >_<

※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:15:41

※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:40:19

→ sazabijiang 公司願意付費的話，可以問問資策會 05/15 13:08 16F

→ sazabijiang 他們有提供弱點掃描服務 05/15 13:08 17F

→ ChungLi5566 客戶用哪套你們就買哪套免得改完被退貨 05/15 19:42 18F

→ ssccg 客戶要求叫客戶生啊，付費的一定產得出報告但也不見得是掃 05/15 22:58 19F

→ ssccg 得出東西，客戶真的沒指定你們就人工掃人工作PDF報告吧 05/15 23:00 20F

→ kkzaq12wsx 其實最早的確是客戶生的 (付費版的那種) 05/17 00:58 21F

→ kkzaq12wsx 但後來客戶不買了，把弱掃的責任歸給外包廠商 05/17 00:59 22F

→ kkzaq12wsx 還寫進新年度的合約哩，所以才會生出這種困擾 XD 05/17 00:59 23F

→ ChungLi5566 開發跟維運都有弱掃的責任 05/18 09:13 24F

→ ssccg 弱掃只是一種工具，甚至不是完整的方法，哪來什麼責任 05/19 14:42 25F

→ ssccg 目標是程式品質，code review是方法，弱掃最多也就是方便找 05/19 14:43 26F

→ ssccg review重點的工具而已 05/19 14:46 27F

→ ssccg 合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告 05/19 14:56 28F

→ ssccg 那乙方就有責任交出來，但是單就弱掃又不是必要的何況責任 05/19 14:58 29F

→ kkzaq12wsx 抱歉~「責任」一詞可能我用詞不當，應該說是把弱點掃 05/20 00:53 30F

→ kkzaq12wsx 描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了 05/20 00:54 31F

→ kkzaq12wsx 當然也是聽說有人交了「掃不出來東西的報告」出去 05/20 00:55 32F

→ kkzaq12wsx 工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD 05/20 00:55 33F

推 fatfatgigi 以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改 05/20 10:28 34F

→ kkzaq12wsx 請問樓上有那種完全無解只能換語言改寫的弱點嗎? 05/20 16:03 35F

推 nickboy Fortify對於舊式寫法非常不友善，包括ASP.Net，我相信ASP 05/23 15:56 36F

→ nickboy 應該會更慘，我改了應該超過五萬個了 05/23 15:57 37F

[請益] 原始碼弱點掃描工具(ASP)

回文

留言

最新文章