然而同樣的問題，Twitter團隊修了好幾次仍不成功，前後經歷兩周才真正解決。他認為原因在於：「應用程式能否套用標準答案，與使用情境有關，如何調整才能達到最佳效果，要視情況而定。」所以，顧問的資訊安全經驗的充裕度與專業度，是企業選擇廠商時必須考量的重點。


適用於打算在開發的早期修復弱點的企業
白箱測試（White-Box Testing）與黑箱測試（Black-Box Testing）在測試領域是由來已久兩種模式，各有優缺點，主要是應用時間點的不同。

就軟體開發而言，在開發的早期搭配靜態程式碼安全性檢測工具，可以盡早發現不安全的寫法，再加上黑箱測試手法無法找出弱點的問題所在，所以採用白箱測試工具，修復漏洞的成本與效率是優於黑箱。

綜觀此次採購特輯的4家產品的特性，各家都兼具白箱、黑箱測試手法的產品，甚至包括資訊安全風險管理平臺。不過，側重的層面仍有所不同。

除了上述4家產品的解決方案之外，其實軟體品質領域和軟體生命周期管理領域的廠商，例如DevPartner、ParaSoft及微軟的Visual Studio，也都在資訊安全的檢查上有所著墨。

主要的差異在於支援語言的多寡、弱點說明與修復建議的詳細程度、規則數量及更新頻率、與軟體開發各階段的整合方式，以及資安顧問的服務，企業可依著重的面向選擇適合的產品。

看更多雜誌 »