今日談~

程式碼分析的目的

• 提高系統及開發品質
• 提高資訊安全

主要規範標準有
OWASP Top 10 - https://owasp.org/www-project-top-ten
SANS Top 25 - https://www.sans.org/top25-software-errors
金融產業已知採用軟體
Fortify、Checkmarx...等

關於動態檢測
動態應用程式安全測試(俗稱:黑箱測試)
由編譯過的程式檔案進行應用程式安全檢測
黑箱測試相關介紹與工具:
https://owasp.org/www-community/controls/Static_Code_Analysis

靜態應用程式安全測試(俗稱:白箱測試)
由未編譯的原始程式碼進行應用程式安全檢測
目前大部份客戶皆採此方式測試
白箱測試相關介紹與工具
https://owasp.org/www-community/Source_Code_Analysis_Tools

檢測方式通常有:

單機檢測
通常為檢測工具，安裝於開發人員電腦上單機進行檢測
常見工具
付費
Fortify – 白箱+黑箱
Checkmarx Static Code Analysis – 白箱
免費
Agnitio – 白箱
VisualCodeGrepper – 白箱
OWASP ZAP – 黑箱

多機檢測
通常需架設伺服器，可依不同的專案針對支援的語言進行檢測，依不同產品可整合不同平台，如GitHub、GitLab

參考來源:
網頁應用軟體安全性測試工具整理
https://fredwang.blogspot.com/2012/01/blog-post_06.html
三種主流靜態原始碼安全檢測工具比較
https://www.itread01.com/content/1549320333.html
程式碼安全檢測產品用戶經驗談
https://www.ithome.com.tw/tech/99147