37.第三方套件供應商提交了一份源碼檢 測報告,報告內容僅顯示受測軟體的版本、程式碼的行數、受測主 件檔案的雜湊值,你發現報告中完全查無任何弱點,連資訊等級的 弱點都沒有,你該如何向甲方證明所採用的套件在當下是安全無 虞?
(A) 請第三方套件供應商再提供一份其它檢測報告
(B) 請第三方套件供應商提交一份源碼檢測的歷程報告
(C) 直接交付第三方套件供應商提交的源碼檢測報告給甲方
(D) 自己針對第三方套件進行黑箱檢測並撰寫報告提交於甲方

答案:登入後查看
統計: A(36), B(401), C(22), D(57), E(0) #3294517

詳解 (共 1 筆)

#6236346
(A) 請第三方套件供應商再提供一份其它檢測報告
選擇此選項表示要求第三方供應商再提供一份不同的檢測報告,以補充現有報告的不足。然而,此選項僅要求另一份報告,並未明確要求檢測過程或細節,可能無法完全了解該軟體的安全性,因此資訊不一定會更完整。
(B) 請第三方套件供應商提交一份源碼檢測的歷程報告
此選項表示要求第三方套件供應商提交源碼檢測的歷程報告,這份歷程報告會詳細記錄檢測過程,包括檢測方法、工具、過程中發現的問題及如何解決等細節。這樣可以幫助你了解供應商是否採用了適當的檢測標準及方法,也能更清楚地確認該套件在當下是否真的安全無虞。這是最完整、最有說服力的方式,因而是最佳選擇。
(C) 直接交付第三方套件供應商提交的源碼檢測報告給甲方
選擇此選項意味著直接將第三方供應商的原始報告提交給甲方,但該報告僅顯示基本資訊,且無任何弱點報告,因此無法證明該套件在當下是安全的。若不加檢驗便提交,可能會留下安全隱患,並無法達到審慎的安全管理標準。
(D) 自己針對第三方套件進行黑箱檢測並撰寫報告提交於甲方
此選項是由你自己對該套件進行黑箱測試並撰寫檢測報告。黑箱測試屬於從外部進行的檢測方式,並非查看程式內部的源碼,因此可能無法全面地檢測出源碼層級的弱點。此外,自行檢測需耗費時間與資源,且結果可能不如供應商提供的檢測歷程報告詳細。
最佳答案
(B) 請第三方套件供應商提交一份源碼檢測的歷程報告
選擇此項目可以獲得第三方供應商的詳細檢測過程,進而確保所採用的套件符合安全標準,並能提供甲方更具說服力的安全證明。
2
0