Q1:请问,乙方的代码安全审计单价如何计算?
“工具可以用fortify或奇安信代码卫士。”
“你们有工具,没有分析人员?”
“是的,没有专门做安全开发的人。我是兼职,但我也不是开发出身。”
“如果是明显的问题,比如硬编码,弱加密算法就是安全说了算。其他的逻辑问题,我看现有工具也比较难查出来。”
“肯定是安全人员说了算,除非开发不改。”
“这个是安全工作推动的难点。一般谁说了算也看人员能力。”
“主要还是文化,安全主导肯定说了算。”
“给你个参考,这是我们这边一个标准。”
“请问你们的开发人员,对于问题整改配合度高吗?有改不了的情况吗?”
“安全提出的问题,研发必须改,带洞上线直接处罚。整体安全文化是这样的,也是好多年培养起来的。”
Q2:请问,目前市场上免费的 SSL 证书和收费的 SSL 证书区别是什么?
“随便找个证书购买的界面就有介绍,免费的只能指定域名,比如a.cccc.com,不能做*.cccc.com。其他的区别自己去看哈。”
“更多是服务和技术保障。”
“合规要求中包括:个人设备和服务器之间的强相互验证,包括使用最新版本的扩展验证 SSL证书(EVSSL)。”
“没有说一定要支持国密标准的话,直接用免费的也行。”
原文始发于微信公众号(安在):诸子云|甲方:代码审计如何计费?SSL证书有何区别?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论