作者kkzaq12wsx (不在站上)
看板Soft_Job
標題[請益] 原始碼弱點掃描工具(ASP)
時間Sat May 14 00:43:19 2022
各位前輩好
公司之前有承接一些古老的維護案,
用的語言是最舊的Classic ASP + VB Script。
最近客戶要求要進行原始碼弱點掃描(白箱測試),
不過google了幾套免費掃描軟體,似乎都不支援掃描ASP,
測試過Visual Code Grepper 跟 sonarqube,
都掃不出東西...囧rz
然後查了一些台灣有代理的付費軟體,價格都寫得有點含糊,
申請試用都有點麻煩。
例如 Checkmarx O-Scan之類的...
我的問題是...
1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具?
2.若是買台灣代理商的付費軟體,買來後是安裝在主機上,隨時想掃就掃嗎?
還是要透過對方公司協助掃描產出報告??
若是後者,感覺在修補弱點的時候有點麻煩,沒辦法馬上重掃看修補的結果...
3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?)
4.若是購買付費軟體,是否能夠拿來接幫別人弱掃的case? XD
以上問題,懇請前輩們解惑,感激不盡!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 220.135.171.123 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Soft_Job/M.1652460203.A.734.html
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 00:44:53
1F:推 SFGEX: 新思的有考慮嗎 05/14 01:12
2F:推 autonomic: CAT.NET好像可以 05/14 02:22
3F:→ kkzaq12wsx: 只要能夠掃純ASP的都可以 (非ASP.NET) 05/14 13:03
4F:推 wyytw: 就做一次的資安健檢,產報告後客戶可以修正弱點後,可再複 05/14 13:23
5F:→ wyytw: 掃。 05/14 13:23
6F:推 steak5566: coverity 05/14 13:42
查了一下似乎不支援 classic asp
7F:→ gpctv: Fortify scan呢? 05/14 13:50
HP 那套嗎? 我查到疑似破百萬 直接略過了 囧
8F:→ kwju: 2.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格 05/14 14:07
9F:→ kwju: 4.不行,授權合約上有寫 05/14 14:07
10F:推 FrancisC: 不知/可/無/看授權 05/14 15:56
11F:推 TAKADO: 3.無 4.看授權 。 05/14 17:54
12F:→ TAKADO: 要注意有些廠商說是有代理國外大廠,但專案型式掃一次多少 05/14 17:54
13F:→ TAKADO: $,其實只是他家有裝一套,原始碼要給他幫你掃。 05/14 17:54
14F:→ TAKADO: 你建議先問客戶接受那幾個牌子的比較快,資安嚴謹的一點客 05/14 17:55
15F:→ TAKADO: 戶,能接受的牌子基本上都是6.7位數的產品。 05/14 17:55
客戶其實沒有要求品牌,免費的工具也可以(但至少要掃得到東西)
只是我目前試過的免費工具都沒辦法掃 純ASP >_<
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:15:41
※ 編輯: kkzaq12wsx (220.135.171.123 臺灣), 05/14/2022 21:40:19
16F:→ sazabijiang: 公司願意付費的話,可以問問資策會 05/15 13:08
17F:→ sazabijiang: 他們有提供弱點掃描服務 05/15 13:08
18F:→ ChungLi5566: 客戶用哪套你們就買哪套 免得改完被退貨 05/15 19:42
19F:→ ssccg: 客戶要求叫客戶生啊,付費的一定產得出報告但也不見得是掃 05/15 22:58
20F:→ ssccg: 得出東西,客戶真的沒指定你們就人工掃人工作PDF報告吧 05/15 23:00
21F:→ kkzaq12wsx: 其實最早的確是客戶生的 (付費版的那種) 05/17 00:58
22F:→ kkzaq12wsx: 但後來客戶不買了,把弱掃的責任歸給外包廠商 05/17 00:59
23F:→ kkzaq12wsx: 還寫進新年度的合約哩,所以才會生出這種困擾 XD 05/17 00:59
24F:→ ChungLi5566: 開發跟維運都有弱掃的責任 05/18 09:13
25F:→ ssccg: 弱掃只是一種工具,甚至不是完整的方法,哪來什麼責任 05/19 14:42
26F:→ ssccg: 目標是程式品質,code review是方法,弱掃最多也就是方便找 05/19 14:43
27F:→ ssccg: review重點的工具而已 05/19 14:46
28F:→ ssccg: 合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告 05/19 14:56
29F:→ ssccg: 那乙方就有責任交出來,但是單就弱掃又不是必要的何況責任 05/19 14:58
30F:→ kkzaq12wsx: 抱歉~「責任」一詞可能我用詞不當,應該說是把弱點掃 05/20 00:53
31F:→ kkzaq12wsx: 描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了 05/20 00:54
32F:→ kkzaq12wsx: 當然也是聽說有人交了「掃不出來東西的報告」出去 05/20 00:55
33F:→ kkzaq12wsx: 工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD 05/20 00:55
34F:推 fatfatgigi: 以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改 05/20 10:28
35F:→ kkzaq12wsx: 請問樓上 有那種完全無解 只能換語言改寫的弱點嗎? 05/20 16:03
36F:推 nickboy: Fortify對於舊式寫法非常不友善,包括ASP.Net,我相信ASP 05/23 15:56
37F:→ nickboy: 應該會更慘,我改了應該超過五萬個了 05/23 15:57