27.下列何項「不」是程式碼開發所使用的原始碼檢測工具 (Static Code Analysis,SCA)?
(A) Fortify
(B) Checkmarx
(C) Nessus
(D) SonarQube

答案:登入後查看
統計: A(209), B(91), C(817), D(187), E(0) #3246612

詳解 (共 3 筆)

#6302705
答案是 (C) Nessus。 Nes...
(共 61 字,隱藏中)
前往觀看
11
0
#6166677
Nessus是系統弱點掃描與分析軟體
7
0
#7379225

正確答案是 (C) Nessus。



答案解析:
(C) 錯誤原因: Nessus 「不是」原始碼檢測工具。
它的真實用途: Nessus 是全球最知名、最市佔率最高的**「主機/系統弱點掃描工具」(System Vulnerability Scanner)。
它的運作方式是透過網路向目標主機(伺服器、網路設備、作業系統)發送探測封包,檢查該主機有沒有開放不安全的 Port、使用了有漏洞的服務版本(例如沒修補的 CVE 漏洞)或設定不當。它是在系統編譯完成、部署上線後**從外部或本機進行黑箱/灰箱掃描,根本看不到,也不會去讀取你的應用程式原始碼(Source Code)。



其他選項說明(皆為標準的靜態原始碼分析工具,簡稱 SAST 或 SCA):

(A) Fortify:
由 Micro Focus(現屬 OpenText)開發的企業級靜態代碼分析工具(Micro Focus Fortify Static Code Analyzer)。它非常強大,支援極多種程式語言,是大型企業和金融機構在進行資安合規(Compliance)時最常指定的白箱掃描工具之一。

(B) Checkmarx:
同樣是國際上極為知名的企業級白箱檢測工具(CxSAST)。它的特點是能非常直觀地畫出「資料流(Data Flow)」,告訴開發者惡意輸入是從哪一個變頭(Source)進來,經過哪些呼叫,最後在哪个死胡同(Sink)爆發漏洞,對工程師修補 Bug 非常方便。

(D) SonarQube:
這是一款非常流行的開源/商業程式碼質量管理平台。除了能檢測常見的資安漏洞(Security Vulnerabilities)之外,後端工程師更常拿它來檢查程式碼的品質(Code Quality)、技術債(Technical Debt)、重複程式碼、單元測試覆蓋率以及是否符合 Clean Code 規範。
0
0