各位前辈好
公司之前有承接一些古老的维护案，
用的语言是最旧的Classic ASP + VB Script。
最近客户要求要进行原始码弱点扫描(白箱测试)，
不过google了几套免费扫描软件，似乎都不支援扫描ASP，
测试过Visual Code Grepper 跟 sonarqube，
都扫不出东西...囧rz
然后查了一些台湾有代理的付费软件，价格都写得有点含糊，
申请试用都有点麻烦。
例如 Checkmarx O-Scan之类的...
我的问题是...
1.是否有前辈知道有能够扫纯 ASP+VBS+JS 的免费弱点扫描工具?
2.若是买台湾代理商的付费软件，买来后是安装在主机上，随时想扫就扫吗?
还是要透过对方公司协助扫描产出报告??
若是后者，感觉在修补弱点的时候有点麻烦，没办法马上重扫看修补的结果...
3.若是付费软件是否有推荐价格比较亲民的?? (10万以内?)
4.若是购买付费软件，是否能够拿来接帮别人弱扫的case? XD
以上问题，恳请前辈们解惑，感激不尽!

新思的有考虑吗

CAT.NET好像可以

只要能够扫纯ASP的都可以 (非ASP.NET)

就做一次的资安健检，产报告后客户可以修正弱点后，可再复扫。

coverity

Fortify scan呢？

2.可以安装在自己主机上随时扫 3.有名的都是7位数以上价格4.不行,授权合约上有写

不知／可／无／看授权

3.无 4.看授权 。要注意有些厂商说是有代理国外大厂，但专案型式扫一次多少$，其实只是他家有装一套，原始码要给他帮你扫。你建议先问客户接受那几个牌子的比较快，资安严谨的一点客户，能接受的牌子基本上都是6.7位数的产品。

公司愿意付费的话，可以问问资策会他们有提供弱点扫描服务

客户用哪套你们就买哪套 免得改完被退货

客户要求叫客户生啊，付费的一定产得出报告但也不见得是扫得出东西，客户真的没指定你们就人工扫人工作PDF报告吧

其实最早的确是客户生的 (付费版的那种)但后来客户不买了，把弱扫的责任归给外包厂商还写进新年度的合约哩，所以才会生出这种困扰 XD

开发跟维运都有弱扫的责任

弱扫只是一种工具，甚至不是完整的方法，哪来什么责任目标是程式品质，code review是方法，弱扫最多也就是方便找review重点的工具而已合约可以订交付的产出必须有(有品牌?)(没弱点?)弱扫报告那乙方就有责任交出来，但是单就弱扫又不是必要的何况责任

抱歉~“责任”一词可能我用词不当，应该说是把弱点扫描跟弱点修补列为验收的交付项目。写那么硬压力就来了当然也是听说有人交了“扫不出来东西的报告”出去工具扫不到弱点就代表没有弱点? 感觉怪怪的XD

以前甲方要求用Fortify扫ASP, 很可怕超多弱点要改

请问楼上 有那种完全无解 只能换语言改写的弱点吗?

Fortify对于旧式写法非常不友善，包括ASP.Net，我相信ASP应该会更惨，我改了应该超过五万个了