範例下載處:https://www.drmaster.com.tw/Bookinfo.asp?BookID=MP32603
|
商用程式碼安全性掃描軟體(SAST)比較表 |
||||
|
軟體名稱 |
供應商 |
說明與 PHP / MySQL 支援特點 |
估計價格帶 (年費/專案) |
備註 / 台灣市場現況 |
|
Checkmarx One |
Checkmarx |
弱點追蹤能力極強。 |
進入門檻約 美金 $30,000 起。 |
台灣知名度最高、政府與金融業最愛用。主打「Data Flow 視覺化」,工程師很好找漏洞。 |
|
|
|
|||
|
能非常精準地畫出 PHP 程式碼中從 Input 到 MySQL 資料庫的「資料流(Data Flow)」,對找出 SQL
Injection 效果極佳。不需編譯即可掃描。 |
(台灣共同供應契約每套年費約 100~110 萬台幣) |
|||
|
Fortify Static Code Analyzer (SCA) |
OpenText (前 Micro Focus/HP) |
資安界的老字號魔王。 |
企業級授權通常 美金 $50,000 起,依專案或程式碼行數(LOC)計費。 |
本地端(On-Premise)建置非常沉重,規則嚴格但誤報率(False Positive)偏高,需要人工資安專家過濾。 |
|
|
||||
|
規則庫(Rulebase)極為龐大,對 PHP 的語法支援與框架很完整。除了 SQLi,對 PHP 設定檔(php.ini)的安全弱點也能掃出來。 |
||||
|
HCL AppScan Source |
HCL Technologies (前 IBM AppScan) |
兼顧網頁漏洞與源碼。 |
企業整合版一年授權約 台幣 300~380 萬(視採購合約與模組而定)。 |
在台灣有深厚的經銷商體系(如精誠等),企業常與 DAST(動態黑箱網頁掃描)一起打包採購。 |
|
|
||||
|
對 PHP 的網頁特性(如 Session、Cookie、XSS)以及與 MySQL 連線的 API 安全防護有很深的檢測機制。 |
||||
|
Veracode SAST |
Veracode |
雲端資安(SaaS)的代表。 |
單純 SAST 模組約 美金 $10,000 ~ $15,000 起(視 App 數量而定)。 |
適合不想維護地端伺服器的企業。需要注意公司資安政策或 ISO 27001 對「原始碼上傳至第三方雲端」的合規控管。 |
|
|
||||
|
主打「不落地掃描」,將 PHP 程式碼打包上傳至 Veracode 雲端沙盒進行分析。強調誤報率極低(約 1%),且提供修復建議。 |
||||
|
Snyk Code |
Snyk |
開發者友好的現代化工具。 |
團隊版約 美金 $25/人/月。 |
非傳統硬核資安審計工具,而是偏向 DevSecOps。除了掃 PHP 本身,它最強的是能掃 PHP 透過 Composer 引入的第三方套件弱點(SCA)。 |
|
|
|
|||
|
主打與 IDE(如 VS Code)和 CI/CD 流程無縫整合。對 PHP 的主流框架(如 Laravel, Symfony)支援度很好,掃描速度極快。 |
企業版需專案報價(約美金 $10,000+ 起)。 |
|||
沒有留言:
張貼留言