※ 引述《futureq (無名再見)》之銘言:
[恕刪]
: 個人心得:
: 真的是蠻可笑的,開放源始碼真的對軟體開放工作的人是好事嗎?
: 如果路上一堆免錢的飲料店、免費雞排店、免費便利商站該有多好?
: 有時候想想,開放源始碼最大的獲利者,就是那些賣防毒軟體,弱點掃描的公司
: 就我在公司的經驗,
: Windows 作業系統在每半年被弱點掃描掃出問題較低。(大概是無腦自動更新)
: 若是PHP,MySQL,如果半年不理他,則每次都有問題XD,一直修再修。
: 弱點掃描真的很好賺,派個人放台NB在內網就好了,按台數計價。
: 1台1000塊,100台就10萬。常常幾百台掃下來就快50萬。
: (要更便宜也可以,但老闆都選妹比較辣的廠商...XD)
: 最後一天請工程師駐點說明一下處理流程。
: 然後一堆經辦每次掃完都在蓋章,真的很煩@@.....
: 純報怨...
講弱掃好賺的人,實在應該跟分享一下那是哪一家廠商,
我考慮跟他們合作生意。
事實上不知這位朋友指的弱掃是哪種?OS? AP? Web?
依文章來看應該是OS, Web,
掃完之後的報告書、處理建議,甚至要跟AP Developer、
Server Administrator、 DBA去談(ㄔㄠˇ ㄐㄧㄚˋ)怎麼修正,
才是弱掃的廠商服務價值。
譬如說吧,以這次OpenSSL的問題,你跟Server Administrator說
要更新OpenSSL的版本,Server Administrator會去問AP Developer
可不可以升,AP Developer會跟你說以下幾種:
1. 你能保證升級後我的Application不會出問題嗎?
2. 真要做,我需要 N個月的時間,過渡期間你的補償措施是什麼。
結果就是這個Critical的弱點無法結案。
弱掃的精隨不是單單只有弱掃工具,
掃完之後的Remediation(修正) 跟溝通協調,才是真功夫啊!