資安掃描常見種類_幾款免費白箱掃描工具推薦(Sonarqube,Puma Scan)

 




白箱掃描(原始碼,靜態代碼掃描)

會協助找到Source Code的安全問題,如果是賣軟體產品,一般都不會提供產品部份的Source Code,但如果是產品上有做客製化,一般的慣例還是要提供客製化部分的Source Code,這就是一般白箱會有的範圍


常見要付費的工具(七位數台幣起跳)有
Checkmarx
https://checkmarx.com/

Fortify Static Code Analyzer


IBM Security AppScan 後來好像轉給HCL接手




黑箱掃描(動態應用安全測試)
有分成弱點掃描和滲透測試

弱點掃描
主要是透過自動工具偵測作業系統與軟體系統的明顯弱點,這些弱點比較容易被發掘,指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點,而這些弱點都會在最短時間內被修正,弱點掃描軟體也不少,包括上面提到的Fortify和AppScan其實都有弱點掃描工具

純弱點掃描比較常被用的商業軟體(上述的AppScan跟Fortify都有包含)

Nexpose Vulnerability Scanner (六位數台幣)

滲透測試
與弱點掃描一樣是由外部這個黑盒子去找出問題,但他用的不是工具,而是找到專業的駭客(Hacker)來嘗試攻破你的系統,透過其經驗可以找到許多自動軟體找不到弱點,甚至透過駭客手法破壞你的軟體系統,因此滲透測試可以找到的弱點比弱點掃描找到得更多。

常見要付費的工具

HP WebInspect


Burp suite(飽嗝套裝)


當然一般個人或中小型企業不太可能會想花錢
(看產業重視程度有些產品是對內的系統
或者B2B其實大部分都只求 能RUN即是福除非有資安稽核需求)
無論白箱跟黑箱通常授權費用都很貴


一般針對白箱掃描
大多數為了省錢的會採用開源免費的軟體


1.Sonarqube
是一個開源的代碼品質管理系統








3.Puma Scan open source project(Mozilla Public License Version 2.0)
Error List Manager 2 (ELM2)

自vs2015以上才支援!!
End User licenses can be installed on up to three (3) workstations owned by a single named user.

是一款VSIX (Visual Studio插件免費使用)直到2021年都還有持續在更新


評價也不錯

不過Puma Scan畢竟人家不是捨麼慈善機構後續
比較高階或更多功能都還是pro license版會比較多


後續參考如何導入免費白箱掃描工具的可參閱



經過實際操作比較

以便於配置姓
Puma Scan > Sonarqube

以掃描得出安全種類的敏感性與功能多樣性
Sonarqube > Puma Scan

本身覺得是可兩種交替使用互補
不過Puma Scan測試起來誤判較高
至於Sonarqube則是會掃得到js跟第三方的jquery套件





Ref:

[資安] 黑白箱測試工具

[經驗分享]開源的原始碼檢測系統 - SonarQube

[Security] 利用免費開源資安檢測軟體 SonarQube 檢測 .NET Core 程式碼

弱點掃描、滲透掃描與原始碼掃描有何不同?

免費的白箱檢測工具puma scan











留言

這個網誌中的熱門文章

何謂淨重(Net Weight)、皮重(Tare Weight)與毛重(Gross Weight)

Architecture(架構) 和 Framework(框架) 有何不同?_軟體設計前的事前規劃的藍圖概念

經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header