本篇已同步发表至个人部落格
https://coolmandiary.blogspot.com/2022/01/sonarqubepuma-scan.html
白箱扫描(原始码,静态代码扫描)
会协助找到Source Code的安全问题,如果是卖软件产品,一般都不会提供产品部份的Source Code,但如果是产品上有做客制化,一般的惯例还是要提供客制化部分的Source Code,这就是一般白箱会有的范围
常见要付费的工具(七位数台币起跳)有
Checkmarx
https://checkmarx.com/
Fortify Static Code Analyzer
https://www.microfocus.com/zh-tw/products/static-code-analysis-sast/overview
IBM Security AppScan 後来好像转给HCL接手
https://www.ibm.com/docs/zh-tw/sas/9.0.3?topic=SSPH29_9.0.3/com.ibm.help.common.infocenter.aps/helpindex_appscan.html
https://help.hcltechsw.com/appscan/Welcome.html
黑箱扫描(动态应用安全测试)
有分成弱点扫描和渗透测试
弱点扫描
主要是透过自动工具侦测作业系统与软件系统的明显弱点,这些弱点比较容易被发掘,指要注意一些安全相关的电子报或网站就可以很快得知一些有名软件的弱点,而这些弱点都会在最短时间内被修正,弱点扫描软件也不少,包括上面提到的Fortify和AppScan其实都有弱点扫描工具
纯弱点扫描比较常被用的商业软件(上述的AppScan跟Fortify都有包含)
Nexpose Vulnerability Scanner (六位数台币)
https://www.rapid7.com/products/nexpose/
渗透测试
与弱点扫描一样是由外部这个黑盒子去找出问题,但他用的不是工具,而是找到专业的骇客(Hacker)来尝试攻破你的系统,透过其经验可以找到许多自动软件找不到弱点,甚至透过骇客手法破坏你的软件系统,因此渗透测试可以找到的弱点比弱点扫描找到得更多。
常见要付费的工具
HP WebInspect
http://www.phitech.com.tw/file/HP/SolutionBrief__FF_WeInspect_%E8%B3%87%E5%AE%89%E6%BC%8F%E6%B4%9E.pdf
http://www.amxecure.com/products-solutions/tactics-policy-services/app-security/204-hp-webinspect-ap
Burp suite(饱嗝套装)
https://portswigger.net/burp
https://www.uuu.com.tw/Public/content/article/21/20210621.htm
当然一般个人或中小型企业不太可能会想花钱
(看产业重视程度有些产品是对内的系统或者B2B其实大部分都只求 能RUN即是福除非有资安稽核需求)
无论白箱跟黑箱通常授权费用都很贵
一般针对白箱扫描
大多数为了省钱的会采用开源免费的软件
1.Sonarqube
https://www.sonarqube.org/downloads/
是一个开源的代码品质管理系统
2.OWASP SonarQube Project (LGPL v3) -->已经没在维护了(不建议再用)
https://wiki.owasp.org/index.php/OWASP_SonarQube_Project
3.Puma Scan open source project(Mozilla Public License Version 2.0)
https://pumasecurity.io/pricing/
https://github.com/pumasecurity/puma-scan
Error List Manager 2 (ELM2)
https://marketplace.visualstudio.com/items?itemName=ShemeerNS.ErrorListManager2ELM2
自vs2015以上才支援!!
End User licenses can be installed on up to three (3) workstations owned by a single named user.
是一款VSIX (Visual Studio插件免费使用)直到2021年都还有持续在更新
https://marketplace.visualstudio.com/items?itemName=PumaSecurity.PumaScan
评价也不错
不过Puma Scan毕竟人家不是舍麽慈善机构後续
比较高阶或更多功能都还是pro license版会比较多
後续参考如何导入免费白箱扫描工具的可参阅
白箱扫描工具_Sonarqube_Windows环境版本作业方式
经过实际操作比较
以便於配置姓
Puma Scan > Sonarqube
以扫描得出安全种类的敏感性与功能多样性
Sonarqube > Puma Scan
本身觉得是可两种交替使用互补
不过Puma Scan测试起来误判较高
至於Sonarqube则是会扫得到js跟第三方的jquery套件
Ref:
[资安] 黑白箱测试工具
https://www.mxp.tw/6710/
[经验分享]开源的原始码检测系统 - SonarQube
http://blog.jason.tools/2017/05/sonarqube-use-experience.html
[Security] 利用免费开源资安检测软件 SonarQube 检测 .NET Core 程序码
https://blogger.tigernaxo.com/post/security/sonarqube_netcore/
免费的白箱检测工具puma scan
https://hoolihome.blogspot.com/2017/09/puma-scan.html
<<: DOM 是什麽 ? 先了解 Node & HTMLElement 就知道了
前言 之前工作上遇到需要将自家 IPCam 与 iOS/Android 手机做 P2P 串流影音,研...
昨天我们打好底了,有基本的容器,还有一些泛用的函式可以呼叫。今天来到实作第二天,让我们来看看今天的需...
什麽是 Proxy Pattern? 让代理物件操作实际物件,让代理物件处理与业务逻辑无关的事情 U...
Quiz: Missing Lines 题目说明: 下面程序码以图表方式呈现,可看出物件与类别之间的...
MVC介绍 希望能将复杂的东西简单化 如果给我一句话我会说下面这句 Model、View、Contr...