※ 引述《futureq (无名再见)》之铭言:
[恕删]
: 个人心得:
: 真的是蛮可笑的,开放源始码真的对软件开放工作的人是好事吗?
: 如果路上一堆免钱的饮料店、免费鸡排店、免费便利商站该有多好?
: 有时候想想,开放源始码最大的获利者,就是那些卖防毒软件,弱点扫描的公司
: 就我在公司的经验,
: Windows 作业系统在每半年被弱点扫描扫出问题较低。(大概是无脑自动更新)
: 若是PHP,MySQL,如果半年不理他,则每次都有问题XD,一直修再修。
: 弱点扫描真的很好赚,派个人放台NB在内网就好了,按台数计价。
: 1台1000块,100台就10万。常常几百台扫下来就快50万。
: (要更便宜也可以,但老板都选妹比较辣的厂商...XD)
: 最后一天请工程师驻点说明一下处理流程。
: 然后一堆经办每次扫完都在盖章,真的很烦@@.....
: 纯报怨...
讲弱扫好赚的人,实在应该跟分享一下那是哪一家厂商,
我考虑跟他们合作生意。
事实上不知这位朋友指的弱扫是哪种?OS? AP? Web?
依文章来看应该是OS, Web,
扫完之后的报告书、处理建议,甚至要跟AP Developer、
Server Administrator、 DBA去谈(ㄔㄠˇ ㄐㄧㄚˋ)怎么修正,
才是弱扫的厂商服务价值。
譬如说吧,以这次OpenSSL的问题,你跟Server Administrator说
要更新OpenSSL的版本,Server Administrator会去问AP Developer
可不可以升,AP Developer会跟你说以下几种:
1. 你能保证升级后我的Application不会出问题吗?
2. 真要做,我需要 N个月的时间,过渡期间你的补偿措施是什么。
结果就是这个Critical的弱点无法结案。
弱扫的精随不是单单只有弱扫工具,
扫完之后的Remediation(修正) 跟沟通协调,才是真功夫啊!