一个事业单位的客户要这种报告, 等保不行.
有没有朋友了解过, 这种报告需要多少 money?
 |
1
supemaomao 5 天前
之前大概接触过,报价的方式是,按照代码行数。
|
 |
2
skyworker OP |
|
3
supemaomao 5 天前
@skyworker 应该不包含 node_modules 的,前端不是很确定,但是后端我们当时是不包含引用的包。
|
 |
4
m0unta1n886 5 天前
业务代码行数
|
|
5
skyworker OP @supemaomao 但是我们其实不太想把真实的业务代码给第三方公司去看, 万一泄露了也很没法. 三方审计公司如何保证当前代码是否为最终代码?
或者说, 第三方公司这是把拿到的代码审计后, 给出报告. 至于软件公司最终给客户部署的是那个代码, 其实大家都无所谓. 甲方只要让乙方提供这个报告, 能走采购流程就行. |
|
6
supemaomao 5 天前
@skyworker 他不需要确认你们是最终版。只需要给出这个报告。
|
|
7
supemaomao 5 天前
@supemaomao 只需要基于你们给出的这一版做测试,确认代码能运行。好像是这样的,我们当时在给出报告以后,还迭代了几个版本。
|
 |
8
leir 5 天前
审计公司出的报告内容只对你提供的版本有效,做审计也不是一定要提供代码给第三方,你需要搞清楚的是甲方要求的审计报告有没有特殊要求,是不是对做审计的公司有要求,如果没有,你们自己使用代码审计工具跑一个报告就行了
|
|
9
skyworker OP @supemaomao 那给一个混淆或者加密过的代码, 是否可行?
|
 |
10
dko 5 天前
安全行业的人来说一句,审计真的看不上你的代码,首先会有各种流程保障数据不会出去,另外如果你的代码一旦出现泄露最后发现是审计渠道出去的,你知道会有多严重吗。。。
|
|
11
dko 5 天前
当然,如果你的项目足够机密,那就花钱让他们上门做审计,机器完全断网环境,现场出报告。
至于你说的代码混淆或者加密,那我请问你让我审计个啥,真出了报告有意义吗 |
 |
12
foolishcrab 5 天前 via iPhone
你问他们接受哪些第三方再去问报价吧,自己找了人家又不认就恶心了
|
 |
15
Ch3n4y 5 天前
我们单位做相关业务,可联系报价,https://cshield.vip/r/4k0u5C
|
Select Language