怎么说呢 这两套产品是目前上商业化中最好的产品之一,说最好的两套也不为过,FORTIFY的报表不错,误报多了些 我的代码审计平台上就用了这两款产品,针对公司自主的产品做代码审计。 代码审计属于白盒测试方面,如果仅仅讲深层次的东西,那工具只能是辅助。很多时候,中小型企业,尤其是创业型公司没有足够的人力,财力,精力来做代码审计,需要找外部的帮助。譬如辅助工具,譬如第三方公司。 不能完全依赖辅助工具,不过在敏捷开发过程中,这是一个很有价值的工具。 代码审计,产生报告,交付给研发,自己留档,每一段时间做报表向各个层面反映。
工具方面,我相信大家都用过漏洞扫描工具,自己感觉一下。 2009/3/5 xy7 <[email protected]> > 不知道你这相当不错的结论是不是亲自测试过得出的…… > 检测报告和最终报告之间还是要经过一套繁琐人工排查,现在的工具也都只是辅助而已 > > > 2009/3/4 孙融(Robert Sun) <[email protected]> > >> 相当不错 >> Fortify和Prevent都能卖到上百万 >> 其实这方面可以看一下TEAM509写的一篇BLOG >> http://www.team509.com/modules.php?name=News&file=article&sid=66 >> 拾人牙慧:) >> >> 2009/3/4 aking <[email protected]> >> >>> 不知道这些东东实际效果怎么样? >>> >>> >>> -- >>> I am aking >>> >>> >>> >>> >> >> >> -- >> [[Call Me]] >> >> Mobile[BJ]: 13911466441 >> Mobile[SH]: 13636450220 >> >> >> >> > > > > -- [[Call Me]] Mobile[BJ]: 13911466441 Mobile[SH]: 13636450220 --~--~---------~--~----~------------~-------~--~----~ 要向邮件组发送邮件,请发到 [email protected] 要退订此邮件,请发邮件至 [email protected] -~----------~----~----~----~------~----~------~--~---
