资安扫描常见种类_几款免费白箱扫描工具推荐(Sonarqube,Puma Scan)

本篇已同步发表至个人部落格
https://coolmandiary.blogspot.com/2022/01/sonarqubepuma-scan.html

白箱扫描(原始码,静态代码扫描)

会协助找到Source Code的安全问题，如果是卖软件产品，一般都不会提供产品部份的Source Code，但如果是产品上有做客制化，一般的惯例还是要提供客制化部分的Source Code，这就是一般白箱会有的范围

常见要付费的工具(七位数台币起跳)有
Checkmarx
https://checkmarx.com/

Fortify Static Code Analyzer
https://www.microfocus.com/zh-tw/products/static-code-analysis-sast/overview

IBM Security AppScan 後来好像转给HCL接手
https://www.ibm.com/docs/zh-tw/sas/9.0.3?topic=SSPH29_9.0.3/com.ibm.help.common.infocenter.aps/helpindex_appscan.html

https://help.hcltechsw.com/appscan/Welcome.html

黑箱扫描(动态应用安全测试)
有分成弱点扫描和渗透测试

弱点扫描
主要是透过自动工具侦测作业系统与软件系统的明显弱点，这些弱点比较容易被发掘，指要注意一些安全相关的电子报或网站就可以很快得知一些有名软件的弱点，而这些弱点都会在最短时间内被修正，弱点扫描软件也不少，包括上面提到的Fortify和AppScan其实都有弱点扫描工具

纯弱点扫描比较常被用的商业软件(上述的AppScan跟Fortify都有包含)

Nexpose Vulnerability Scanner (六位数台币)
https://www.rapid7.com/products/nexpose/

渗透测试
与弱点扫描一样是由外部这个黑盒子去找出问题，但他用的不是工具，而是找到专业的骇客(Hacker)来尝试攻破你的系统，透过其经验可以找到许多自动软件找不到弱点，甚至透过骇客手法破坏你的软件系统，因此渗透测试可以找到的弱点比弱点扫描找到得更多。

常见要付费的工具

HP WebInspect
http://www.phitech.com.tw/file/HP/SolutionBrief__FF_WeInspect_%E8%B3%87%E5%AE%89%E6%BC%8F%E6%B4%9E.pdf
http://www.amxecure.com/products-solutions/tactics-policy-services/app-security/204-hp-webinspect-ap

Burp suite(饱嗝套装)
https://portswigger.net/burp
https://www.uuu.com.tw/Public/content/article/21/20210621.htm

当然一般个人或中小型企业不太可能会想花钱
(看产业重视程度有些产品是对内的系统或者B2B其实大部分都只求 能RUN即是福除非有资安稽核需求)
无论白箱跟黑箱通常授权费用都很贵

一般针对白箱扫描
大多数为了省钱的会采用开源免费的软件

1.Sonarqube
https://www.sonarqube.org/downloads/
是一个开源的代码品质管理系统

2.OWASP SonarQube Project (LGPL v3) -->已经没在维护了(不建议再用)
https://wiki.owasp.org/index.php/OWASP_SonarQube_Project

3.Puma Scan open source project(Mozilla Public License Version 2.0)
https://pumasecurity.io/pricing/
https://github.com/pumasecurity/puma-scan
Error List Manager 2 (ELM2)
https://marketplace.visualstudio.com/items?itemName=ShemeerNS.ErrorListManager2ELM2

自vs2015以上才支援!!
End User licenses can be installed on up to three (3) workstations owned by a single named user.

是一款VSIX (Visual Studio插件免费使用)直到2021年都还有持续在更新
https://marketplace.visualstudio.com/items?itemName=PumaSecurity.PumaScan

评价也不错

不过Puma Scan毕竟人家不是舍麽慈善机构後续
比较高阶或更多功能都还是pro license版会比较多

後续参考如何导入免费白箱扫描工具的可参阅

白箱扫描工具_Puma Scan

白箱扫描工具_Sonarqube_Windows环境版本作业方式

经过实际操作比较

以便於配置姓
Puma Scan > Sonarqube

以扫描得出安全种类的敏感性与功能多样性
Sonarqube > Puma Scan

本身觉得是可两种交替使用互补
不过Puma Scan测试起来误判较高
至於Sonarqube则是会扫得到js跟第三方的jquery套件

Ref:

[资安] 黑白箱测试工具
https://www.mxp.tw/6710/

[经验分享]开源的原始码检测系统 - SonarQube
http://blog.jason.tools/2017/05/sonarqube-use-experience.html

[Security] 利用免费开源资安检测软件 SonarQube 检测 .NET Core 程序码
https://blogger.tigernaxo.com/post/security/sonarqube_netcore/

弱点扫描、渗透扫描与原始码扫描有何不同？
https://www.hcm86.com/%E5%BC%B1%E9%BB%9E%E6%8E%83%E6%8F%8F%E3%80%81%E6%BB%B2%E9%80%8F%E6%8E%83%E6%8F%8F%E8%88%87%E5%8E%9F%E5%A7%8B%E7%A2%BC%E6%8E%83%E6%8F%8F%E6%9C%89%E4%BD%95%E4%B8%8D%E5%90%8C%EF%BC%9F

免费的白箱检测工具puma scan
https://hoolihome.blogspot.com/2017/09/puma-scan.html