首先 弱点扫描是指对你已经启动的程式 针对提供服务的网路port或是作业系统探测 确认是否有已知弱点 常见的工具是nessus openvas 至於你问的工具 Fortify跟checkmarx 是静态程式扫描 扫的是你的程式码 Checkmarx真的很烂 尤其是要编译的程式语言 基本上他只能抓sqli xss 之类的pattern match可以抓到的弱点 还不如用sonarcube 可是大公司不知道差别 都只会选checkmarx Fortify跟coverity还有klocworks 对编译的程式语言就友善多了 我前几份工作是在券商维护c/c++交易系统 大概会都会评估coverity或klocworks 只是这两套真的超贵 目前知道柜买中心 期交所 联发科都用coverity 报告会检查MISRA 规则 以前还有一套parasoft c++test 可是台湾没有代理商 不然也蛮好用 不过有点好奇在GEN AI出来後 这些工具有没有什麽转变 像是调整生成的code或是能抓到更多类型的弱点 ※ 引述《jej (贼一贼)》之铭言： : 如题啊 : 资安意识越来越高的现代 : 你各位写程式的码农 : 一定有被弱点扫描软体恶搞过 : 这篇是来讨论 : 你各位觉得哪套弱点扫描软体好？ : 我个人只有经历 : Checkmarx和Fortify这两套 : 个人觉得Checkmarx很烂 : 用他里面的解决范例 : 还跑出Critical Issue : 而且设定白名单 : 还远远不如Fortify方便 : 想问版上 : 有推荐哪套弱点扫描软体 ----- Sent from JPTT on my iPhone --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 223.140.191.178 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Soft_Job/M.1737863566.A.F37.html ※ 编辑: soheadsome (223.140.191.178 台湾), 01/26/2025 11:55:30 对 我打错了 感谢 ※ 编辑: soheadsome (223.140.191.178 台湾), 01/26/2025 14:12:36