資安檢測

源碼檢測

• 使用的軟體：

  • Checkmarx 

  • Fortify 

  • SonarQube

    • 開源程式碼檢測平台 SonarQube

• 在委外廠商交付程式碼後，必須一併附上源碼檢測報告，用以佐證開發過程中是否有任何潛在的資安弱點。

弱點掃描

• 使用的軟體：

  • OpenVAs

    • 使用Docker下載及安裝OpenVas

    • 官網及下載：https://openvas.org/

    • 下載及安裝中文翻譯文件

    • 如何使用 OpenVAS / GVM 進行弱點掃描

  • Acunetix

  • Nessus

  • WebInspect

  • HCL Security AppScan

• 在網站正式上線後，必須使用工具對於網站做通盤性的弱點掃描，用以確認是否有任何弱點構面可以被用於攻擊。

滲透測試

• 使用的軟體：

  • OwaspZAP 

    • 網頁滲透測試 OWASP ZAP

  • BurpSuite

  • Metasploit

  • SQLMap

  • Colbalt Strike

• 在網站正式上線後，相較於弱點掃描是使用工具掃描，滲透測試由專門的資安專家，使用各種巧思、方法測試系統是否有任何弱點。