Re: [討論] Checkmarx 和 Fortify...

作者: soheadsome (師大狗鼻哥)   2025-01-26 11:52:42
首先
弱點掃描是指對你已經啟動的程式
針對提供服務的網路port或是作業系統探測
確認是否有已知弱點
常見的工具是nessus openvas
至於你問的工具
Fortify跟checkmarx 是靜態程式掃描
掃的是你的程式碼
Checkmarx真的很爛 尤其是要編譯的程式語言
基本上他只能抓sqli xss 之類的pattern match可以抓到的弱點
還不如用sonarcube 可是大公司不知道差別 都只會選checkmarx
Fortify跟coverity還有klocworks 對編譯的程式語言就友善多了
我前幾份工作是在券商維護c/c++交易系統
大概會都會評估coverity或klocworks
只是這兩套真的超貴
目前知道櫃買中心 期交所 聯發科都用coverity
報告會檢查MISRA 規則
以前還有一套parasoft c++test 可是台灣沒有代理商 不然也蠻好用
不過有點好奇在GEN AI出來後 這些工具有沒有什麼轉變
像是調整生成的code或是能抓到更多類型的弱點
※ 引述《jej (賊一賊)》之銘言:
: 如題啊
: 資安意識越來越高的現代
: 你各位寫程式的碼農
: 一定有被弱點掃描軟體惡搞過
: 這篇是來討論
: 你各位覺得哪套弱點掃描軟體好?
: 我個人只有經歷
: Checkmarx和Fortify這兩套
: 個人覺得Checkmarx很爛
: 用他裡面的解決範例
: 還跑出Critical Issue
: 而且設定白名單
: 還遠遠不如Fortify方便
: 想問版上
: 有推薦哪套弱點掃描軟體
作者: dildoe (Dildo)   2025-01-26 12:23:00
資安有多人是檢查有在做 但到底是做甚麼好像不是很講究XD
作者: richard07250 (blazing)   2025-01-26 14:02:00
openvms? openvas?
作者: crazycy (LCY)   2025-01-26 14:57:00
Fortify UI很難用... SonarQube好不少不過兩個掃的東西不太一樣
作者: viper9709 (阿達)   2025-01-27 01:09:00
推分享
作者: Ekmund (是一隻小叔)   2025-02-01 05:53:00
有做一回事 有沒有改另一回事 XD

Links booklink

Contact Us: admin [ a t ] ucptt.com