Vulnerability Scans
主動辨識網路、系統佮應用程式內底會予網路攻擊者利用的弱點。
兩種型態的 Vulnerability Scans:
Nessus是網路基礎的 vulnerability scanner,提供多功能的平台執行 credentialed 佮 non-credentialed scans。借助 Nessus 組織會用得根據𪜶特別目的佮限制來制定 scanning approach。
Security Content Automation Protocol(SCAP) 是一个 framework 予 vulnerability scanner 會用得確認電腦是毋是有遵守事先設定的 baseline。
Application Security
Application scanners 是專門用佇軟體應用程式佮網路應用程式。
Package Monitoring:
Package 是用佇應用程式軟體 module,包括 libraries、frameworks、plugins 抑是 other pieces of code。
Package monitoring 依靠 vulnerability 資料庫,這个資料庫紀錄已經知 iáⁿ 的 vulnerabilities 佮相關的 package。
重要的資料來源:Common Vulnerabilities and Exposures(CVE) 佮 National Vulnerability Database(NVD)。
Threat Feed
Penetration Testing
Responsible Disclosure Prgram
System/process Audit