V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
skyworker
V2EX  ›  问与答

"代码审计报告" 这种玩意有行情价吗?

  •  
  •   skyworker · 5 天前 · 940 次点击

    一个事业单位的客户要这种报告, 等保不行.

    有没有朋友了解过, 这种报告需要多少 money?

    supemaomao
        1
    supemaomao  
       5 天前
    之前大概接触过,报价的方式是,按照代码行数。
    skyworker
        2
    skyworker  
    OP
       5 天前
    @supemaomao 卧槽, 统计的时候, 会不会把 node_modules 目录中的代码也统计进去?

    如果前端只需要编译就行, 会不会把后台的 vendor 目录中的代码也算进去?
    supemaomao
        3
    supemaomao  
       5 天前
    @skyworker 应该不包含 node_modules 的,前端不是很确定,但是后端我们当时是不包含引用的包。
    m0unta1n886
        4
    m0unta1n886  
       5 天前
    业务代码行数
    skyworker
        5
    skyworker  
    OP
       5 天前
    @supemaomao 但是我们其实不太想把真实的业务代码给第三方公司去看, 万一泄露了也很没法. 三方审计公司如何保证当前代码是否为最终代码?

    或者说, 第三方公司这是把拿到的代码审计后, 给出报告. 至于软件公司最终给客户部署的是那个代码, 其实大家都无所谓. 甲方只要让乙方提供这个报告, 能走采购流程就行.
    supemaomao
        6
    supemaomao  
       5 天前
    @skyworker 他不需要确认你们是最终版。只需要给出这个报告。
    supemaomao
        7
    supemaomao  
       5 天前
    @supemaomao 只需要基于你们给出的这一版做测试,确认代码能运行。好像是这样的,我们当时在给出报告以后,还迭代了几个版本。
    leir
        8
    leir  
       5 天前
    审计公司出的报告内容只对你提供的版本有效,做审计也不是一定要提供代码给第三方,你需要搞清楚的是甲方要求的审计报告有没有特殊要求,是不是对做审计的公司有要求,如果没有,你们自己使用代码审计工具跑一个报告就行了
    skyworker
        9
    skyworker  
    OP
       5 天前
    @supemaomao 那给一个混淆或者加密过的代码, 是否可行?
    dko
        10
    dko  
       5 天前
    安全行业的人来说一句,审计真的看不上你的代码,首先会有各种流程保障数据不会出去,另外如果你的代码一旦出现泄露最后发现是审计渠道出去的,你知道会有多严重吗。。。
    dko
        11
    dko  
       5 天前
    当然,如果你的项目足够机密,那就花钱让他们上门做审计,机器完全断网环境,现场出报告。
    至于你说的代码混淆或者加密,那我请问你让我审计个啥,真出了报告有意义吗
    foolishcrab
        12
    foolishcrab  
       5 天前 via iPhone
    你问他们接受哪些第三方再去问报价吧,自己找了人家又不认就恶心了
    skyworker
        13
    skyworker  
    OP
       5 天前
    @dko 客户要求我们的商业版本提供代码审计报告, 不是某个项目的代码.

    防人之心不可无, 毕竟国内的商业环境, 还不是能让每个人都放下
    dko
        14
    dko  
       5 天前
    @skyworker 那你就花钱让审计现场出报告。
    Ch3n4y
        15
    Ch3n4y  
       5 天前
    我们单位做相关业务,可联系报价,https://cshield.vip/r/4k0u5C
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1167 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 19ms · UTC 17:44 · PVG 01:44 · LAX 10:44 · JFK 13:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.