如題啊 資安意識越來越高的現代 你各位寫程式的碼農 一定有被弱點掃描軟體惡搞過 這篇是來討論 你各位覺得哪套弱點掃描軟體好？ 我個人只有經歷 Checkmarx和Fortify這兩套 個人覺得Checkmarx很爛 用他裡面的解決範例 還跑出Critical Issue 而且設定白名單 還遠遠不如Fortify方便 想問版上 有推薦哪套弱點掃描軟體 -- ※ 發信站: 批踢踢實業坊(ptt.org.tw), 來自: 114.32.134.47 (臺灣) ※ 文章網址: https://ptt.org.tw/Soft_Job/M.1737852924.A.2B7

推 luweber88: 如果是有規模的公司 這不是個人能決定的吧 01/26 09:17

推 OyodoKai: SAST+SCA 很多大廠的solution 01/26 10:01

→ OyodoKai: SonarQube 之類的 01/26 10:02

→ BlacksPig: 能掃描的太多款了，但是能快速解掃出來的issue的？ 01/26 13:30

→ ssccg: 都很爛，PG有基本資安常識的話掃這個基本就只是要一個報告 01/26 16:36

→ ssccg: 解issue都假的，加白名單後報告不要留下痕跡才是真的 01/26 16:45

推 lovdkkkk: Checkmarx 很煩，用到的 package 裡附的範例都報，也不 01/26 23:52

→ lovdkkkk: 管實際上有沒有用到會不會跑到 01/26 23:53

推 za755188: 掃出來的報告能過資安認證都好 01/27 00:22

→ DrTech: 實體隔離斷網就好，資訊只進不出，一堆公司這樣。 01/27 15:23

→ ChungLi5566: 自由心證囉 一堆項目修了工具掃完還是認為不安全 最 01/27 22:05

→ ChungLi5566: 後只能藏弱點讓報告呈現0 01/27 22:05

→ ChungLi5566: 不然再修下去連自己都看不懂code 01/27 22:06

→ Suleika: 都很爛，掃描過後還是會被新方法攻擊 01/30 10:57

→ Suleika: 就像上面講的玩到後面都是為做而做 01/30 10:58

→ new122851: 更智障的是還一堆訂KPI 02/02 00:50