首先
弱點掃描是指對你已經啟動的程式
針對提供服務的網路port或是作業系統探測
確認是否有已知弱點
常見的工具是nessus openvas
至於你問的工具
Fortify跟checkmarx 是靜態程式掃描
掃的是你的程式碼
Checkmarx真的很爛 尤其是要編譯的程式語言
基本上他只能抓sqli xss 之類的pattern match可以抓到的弱點
還不如用sonarcube 可是大公司不知道差別 都只會選checkmarx
Fortify跟coverity還有klocworks 對編譯的程式語言就友善多了
我前幾份工作是在券商維護c/c++交易系統
大概會都會評估coverity或klocworks
只是這兩套真的超貴
目前知道櫃買中心 期交所 聯發科都用coverity
報告會檢查MISRA 規則
以前還有一套parasoft c++test 可是台灣沒有代理商 不然也蠻好用
不過有點好奇在GEN AI出來後 這些工具有沒有什麼轉變
像是調整生成的code或是能抓到更多類型的弱點
※ 引述《jej (賊一賊)》之銘言:
: 如題啊
: 資安意識越來越高的現代
: 你各位寫程式的碼農
: 一定有被弱點掃描軟體惡搞過
: 這篇是來討論
: 你各位覺得哪套弱點掃描軟體好?
: 我個人只有經歷
: Checkmarx和Fortify這兩套
: 個人覺得Checkmarx很爛
: 用他裡面的解決範例
: 還跑出Critical Issue
: 而且設定白名單
: 還遠遠不如Fortify方便
: 想問版上
: 有推薦哪套弱點掃描軟體