首先 弱點掃描是指對你已經啟動的程式 針對提供服務的網路port或是作業系統探測 確認是否有已知弱點 常見的工具是nessus openvas 至於你問的工具 Fortify跟checkmarx 是靜態程式掃描 掃的是你的程式碼 Checkmarx真的很爛 尤其是要編譯的程式語言 基本上他只能抓sqli xss 之類的pattern match可以抓到的弱點 還不如用sonarcube 可是大公司不知道差別 都只會選checkmarx Fortify跟coverity還有klocworks 對編譯的程式語言就友善多了 我前幾份工作是在券商維護c/c++交易系統 大概會都會評估coverity或klocworks 只是這兩套真的超貴 目前知道櫃買中心 期交所 聯發科都用coverity 報告會檢查MISRA 規則 以前還有一套parasoft c++test 可是台灣沒有代理商 不然也蠻好用 不過有點好奇在GEN AI出來後 這些工具有沒有什麼轉變 像是調整生成的code或是能抓到更多類型的弱點 ※ 引述《jej (賊一賊)》之銘言： : 如題啊 : 資安意識越來越高的現代 : 你各位寫程式的碼農 : 一定有被弱點掃描軟體惡搞過 : 這篇是來討論 : 你各位覺得哪套弱點掃描軟體好？ : 我個人只有經歷 : Checkmarx和Fortify這兩套 : 個人覺得Checkmarx很爛 : 用他裡面的解決範例 : 還跑出Critical Issue : 而且設定白名單 : 還遠遠不如Fortify方便 : 想問版上 : 有推薦哪套弱點掃描軟體 ----- Sent from JPTT on my iPhone -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.140.191.178 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1737863566.A.F37.html ※ 編輯: soheadsome (223.140.191.178 臺灣), 01/26/2025 11:55:30 對 我打錯了 感謝 ※ 編輯: soheadsome (223.140.191.178 臺灣), 01/26/2025 14:12:36