web-dev-qa-db-ja.com

ペンテストやソースコード分析結果を共有するためのツールと方法論

共同侵入テストまたはソースコード/バイナリ分析中に結果を共有するためにどのツール(商用およびオープンソース)を使用していますか。よく知られている Dradisフレームワーク はある程度のレベルで役立ちますが、チームがどのように機能し、結果を効果的に交換するか、他の可能な解決策、方法論を見るのは良いことです。

13
anonymous

現在のクライアントでは、開発、セキュリティ監査、プロジェクト管理の複数のチームと結果を共有するための中央リポジトリとしてHP Fortify 360を使用しています。

すべての開発プロジェクトビルドスクリプトは、結果を360に自動的にアップロードできます。プロジェクトごとのテンプレートが適用され、チームは問題を確認して結果を適用できます。

すべての問題は時間の経過とともに追跡されるため、その欠陥管理システムは結果を管理者に効果的に表示できます。

レポート機能には、問題に関する技術的な詳細と開発チーム向けの推奨事項、および上級管理職向けの高レベルの統計が含まれます。

すべてのツールと同じように、問題がありますが、管理フレームワークはかなり良いので、私から高く評価されています。

3
Rory Alsop

HP AMPおよびHP Fortify360。HoneyAppsコンジット。 Denim Group Vulnerability Manager、Veracode、Aspect Security ARMS。

アトラシアンるつぼ、Friendpaste、SyntaxHighlighter、Smartbear Software CodeCollaborator

3
atdre