各位前輩好
公司之前有承接一些古老的維護案，
用的語言是最舊的Classic ASP + VB Script。
最近客戶要求要進行原始碼弱點掃描(白箱測試)，
不過google了幾套免費掃描軟體，似乎都不支援掃描ASP，
測試過Visual Code Grepper 跟 sonarqube，
都掃不出東西...囧rz
然後查了一些台灣有代理的付費軟體，價格都寫得有點含糊，
申請試用都有點麻煩。
例如 Checkmarx O-Scan之類的...
我的問題是...
1.是否有前輩知道有能夠掃純 ASP+VBS+JS 的免費弱點掃描工具?
2.若是買台灣代理商的付費軟體，買來後是安裝在主機上，隨時想掃就掃嗎?
還是要透過對方公司協助掃描產出報告??
若是後者，感覺在修補弱點的時候有點麻煩，沒辦法馬上重掃看修補的結果...
3.若是付費軟體是否有推薦價格比較親民的?? (10萬以內?)
4.若是購買付費軟體，是否能夠拿來接幫別人弱掃的case? XD
以上問題，懇請前輩們解惑，感激不盡!

新思的有考慮嗎

CAT.NET好像可以

只要能夠掃純ASP的都可以 (非ASP.NET)

就做一次的資安健檢，產報告後客戶可以修正弱點後，可再複掃。

coverity

Fortify scan呢？

2.可以安裝在自己主機上隨時掃 3.有名的都是7位數以上價格4.不行,授權合約上有寫

不知／可／無／看授權

3.無 4.看授權 。要注意有些廠商說是有代理國外大廠，但專案型式掃一次多少$，其實只是他家有裝一套，原始碼要給他幫你掃。你建議先問客戶接受那幾個牌子的比較快，資安嚴謹的一點客戶，能接受的牌子基本上都是6.7位數的產品。

公司願意付費的話，可以問問資策會他們有提供弱點掃描服務

客戶用哪套你們就買哪套 免得改完被退貨

客戶要求叫客戶生啊，付費的一定產得出報告但也不見得是掃得出東西，客戶真的沒指定你們就人工掃人工作PDF報告吧

其實最早的確是客戶生的 (付費版的那種)但後來客戶不買了，把弱掃的責任歸給外包廠商還寫進新年度的合約哩，所以才會生出這種困擾 XD

開發跟維運都有弱掃的責任

弱掃只是一種工具，甚至不是完整的方法，哪來什麼責任目標是程式品質，code review是方法，弱掃最多也就是方便找review重點的工具而已合約可以訂交付的產出必須有(有品牌?)(沒弱點?)弱掃報告那乙方就有責任交出來，但是單就弱掃又不是必要的何況責任

抱歉~「責任」一詞可能我用詞不當，應該說是把弱點掃描跟弱點修補列為驗收的交付項目。寫那麼硬壓力就來了當然也是聽說有人交了「掃不出來東西的報告」出去工具掃不到弱點就代表沒有弱點? 感覺怪怪的XD

以前甲方要求用Fortify掃ASP, 很可怕超多弱點要改

請問樓上 有那種完全無解 只能換語言改寫的弱點嗎?

Fortify對於舊式寫法非常不友善，包括ASP.Net，我相信ASP應該會更慘，我改了應該超過五萬個了