首先
弱点扫描是指对你已经启动的程式
针对提供服务的网络port或是作业系统探测
确认是否有已知弱点
常见的工具是nessus openvas
至于你问的工具
Fortify跟checkmarx 是静态程式扫描
扫的是你的程式码
Checkmarx真的很烂 尤其是要编译的程式语言
基本上他只能抓sqli xss 之类的pattern match可以抓到的弱点
还不如用sonarcube 可是大公司不知道差别 都只会选checkmarx
Fortify跟coverity还有klocworks 对编译的程式语言就友善多了
我前几份工作是在券商维护c/c++交易系统
大概会都会评估coverity或klocworks
只是这两套真的超贵
目前知道柜买中心 期交所 联发科都用coverity
报告会检查MISRA 规则
以前还有一套parasoft c++test 可是台湾没有代理商 不然也蛮好用
不过有点好奇在GEN AI出来后 这些工具有没有什么转变
像是调整生成的code或是能抓到更多类型的弱点
※ 引述《jej (贼一贼)》之铭言:
: 如题啊
: 资安意识越来越高的现代
: 你各位写程式的码农
: 一定有被弱点扫描软件恶搞过
: 这篇是来讨论
: 你各位觉得哪套弱点扫描软件好?
: 我个人只有经历
: Checkmarx和Fortify这两套
: 个人觉得Checkmarx很烂
: 用他里面的解决范例
: 还跑出Critical Issue
: 而且设定白名单
: 还远远不如Fortify方便
: 想问版上
: 有推荐哪套弱点扫描软件