本篇已同步發表至個人部落格
https://coolmandiary.blogspot.com/2022/01/sonarqubepuma-scan.html
白箱掃描(原始碼,靜態代碼掃描)
會協助找到Source Code的安全問題,如果是賣軟體產品,一般都不會提供產品部份的Source Code,但如果是產品上有做客製化,一般的慣例還是要提供客製化部分的Source Code,這就是一般白箱會有的範圍
常見要付費的工具(七位數台幣起跳)有
Checkmarx
https://checkmarx.com/
Fortify Static Code Analyzer
https://www.microfocus.com/zh-tw/products/static-code-analysis-sast/overview
IBM Security AppScan 後來好像轉給HCL接手
https://www.ibm.com/docs/zh-tw/sas/9.0.3?topic=SSPH29_9.0.3/com.ibm.help.common.infocenter.aps/helpindex_appscan.html
https://help.hcltechsw.com/appscan/Welcome.html
黑箱掃描(動態應用安全測試)
有分成弱點掃描和滲透測試
弱點掃描
主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正,弱點掃描軟體也不少,包括上面提到的Fortify和AppScan其實都有弱點掃描工具
純弱點掃描比較常被用的商業軟體(上述的AppScan跟Fortify都有包含)
Nexpose Vulnerability Scanner (六位數台幣)
https://www.rapid7.com/products/nexpose/
滲透測試
與弱點掃描一樣是由外部這個黑盒子去找出問題,但他用的不是工具,而是找到專業的駭客(Hacker)來嘗試攻破你的系統,透過其經驗可以找到許多自動軟體找不到弱點,甚至透過駭客手法破壞你的軟體系統,因此滲透測試可以找到的弱點比弱點掃描找到得更多。
常見要付費的工具
HP WebInspect
http://www.phitech.com.tw/file/HP/SolutionBrief__FF_WeInspect_%E8%B3%87%E5%AE%89%E6%BC%8F%E6%B4%9E.pdf
http://www.amxecure.com/products-solutions/tactics-policy-services/app-security/204-hp-webinspect-ap
Burp suite(飽嗝套裝)
https://portswigger.net/burp
https://www.uuu.com.tw/Public/content/article/21/20210621.htm
當然一般個人或中小型企業不太可能會想花錢
(看產業重視程度有些產品是對內的系統或者B2B其實大部分都只求 能RUN即是福除非有資安稽核需求)
無論白箱跟黑箱通常授權費用都很貴
一般針對白箱掃描
大多數為了省錢的會採用開源免費的軟體
1.Sonarqube
https://www.sonarqube.org/downloads/
是一個開源的代碼品質管理系統
2.OWASP SonarQube Project (LGPL v3) -->已經沒在維護了(不建議再用)
https://wiki.owasp.org/index.php/OWASP_SonarQube_Project
3.Puma Scan open source project(Mozilla Public License Version 2.0)
https://pumasecurity.io/pricing/
https://github.com/pumasecurity/puma-scan
Error List Manager 2 (ELM2)
https://marketplace.visualstudio.com/items?itemName=ShemeerNS.ErrorListManager2ELM2
自vs2015以上才支援!!
End User licenses can be installed on up to three (3) workstations owned by a single named user.
是一款VSIX (Visual Studio插件免費使用)直到2021年都還有持續在更新
https://marketplace.visualstudio.com/items?itemName=PumaSecurity.PumaScan
評價也不錯
不過Puma Scan畢竟人家不是捨麼慈善機構後續
比較高階或更多功能都還是pro license版會比較多
後續參考如何導入免費白箱掃描工具的可參閱
白箱掃描工具_Sonarqube_Windows環境版本作業方式
經過實際操作比較
以便於配置姓
Puma Scan > Sonarqube
以掃描得出安全種類的敏感性與功能多樣性
Sonarqube > Puma Scan
本身覺得是可兩種交替使用互補
不過Puma Scan測試起來誤判較高
至於Sonarqube則是會掃得到js跟第三方的jquery套件
Ref:
[資安] 黑白箱測試工具
https://www.mxp.tw/6710/
[經驗分享]開源的原始碼檢測系統 - SonarQube
http://blog.jason.tools/2017/05/sonarqube-use-experience.html
[Security] 利用免費開源資安檢測軟體 SonarQube 檢測 .NET Core 程式碼
https://blogger.tigernaxo.com/post/security/sonarqube_netcore/
免費的白箱檢測工具puma scan
https://hoolihome.blogspot.com/2017/09/puma-scan.html