在開發完系統之後,大多會透過許多資安工具的檢測,開發人員再透過工具產生的報表來一一修正。 這些畢竟是工具,它只是幫我們找出 可能 的資安漏洞, 所以並不代表我們可以閉著眼完全相信它。 報表中的 高風險 = 高準確,低風險 = 低準確, 它是機率問題,畢竟工具也是程式,也有可能會有誤判, 所以最終還是要透過開發人員去了解它,並判斷它是否真的會是個問題。
建立這個專案的目的,主要是希望多收集一些資安檢測問題, 來跟大家討論它是否真的需要修正, 或是用什麼方式俢正會來得比較好。
也希望大家可以回到問題的本身, 而不是盲目地相信,只有報表中有出現問題, 它就一定是問題,而導致開發人員為了讓這個問題不會出現在報表中, 而讓程式碼變的更難維護。 例如,Checkmarx 的 Log_Forging 問題 開發人員為了解這問題,而改用 Reflection 去寫, 這樣不就失去了使用工具的初衷?