作者jej (贼一贼)
看板Soft_Job
标题[讨论] Checkmarx 和 Fortify...
时间Sun Jan 26 08:55:22 2025
如题啊
资安意识越来越高的现代
你各位写程式的码农
一定有被弱点扫描软体恶搞过
这篇是来讨论
你各位觉得哪套弱点扫描软体好?
我个人只有经历
Checkmarx和Fortify这两套
个人觉得Checkmarx很烂
用他里面的解决范例
还跑出Critical Issue
而且设定白名单
还远远不如Fortify方便
想问版上
有推荐哪套弱点扫描软体
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.32.134.47 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1737852924.A.2B7.html
1F:推 luweber88: 如果是有规模的公司 这不是个人能决定的吧 01/26 09:17
2F:推 OyodoKai: SAST+SCA 很多大厂的solution 01/26 10:01
3F:→ OyodoKai: SonarQube 之类的 01/26 10:02
4F:→ BlacksPig: 能扫描的太多款了,但是能快速解扫出来的issue的? 01/26 13:30
5F:→ ssccg: 都很烂,PG有基本资安常识的话扫这个基本就只是要一个报告 01/26 16:36
6F:→ ssccg: 解issue都假的,加白名单後报告不要留下痕迹才是真的 01/26 16:45
7F:推 lovdkkkk: Checkmarx 很烦,用到的 package 里附的范例都报,也不 01/26 23:52
8F:→ lovdkkkk: 管实际上有没有用到会不会跑到 01/26 23:53
9F:推 za755188: 扫出来的报告能过资安认证都好 01/27 00:22
10F:→ DrTech: 实体隔离断网就好,资讯只进不出,一堆公司这样。 01/27 15:23
11F:→ ChungLi5566: 自由心证罗 一堆项目修了工具扫完还是认为不安全 最 01/27 22:05
12F:→ ChungLi5566: 後只能藏弱点让报告呈现0 01/27 22:05
13F:→ ChungLi5566: 不然再修下去连自己都看不懂code 01/27 22:06
14F:→ Suleika: 都很烂,扫描过後还是会被新方法攻击 01/30 10:57
15F:→ Suleika: 就像上面讲的玩到後面都是为做而做 01/30 10:58
16F:→ new122851: 更智障的是还一堆订KPI 02/02 00:50