34. 【題組 4】情境如附圖所示。API 伺服器上線前可以進行滲透 測試、弱點掃描、源碼檢測的敘述，下列何者正確？
(A) 原始碼檢測應該每季執行
(B) 滲透測試有機會找出商業邏輯漏洞
(C) 弱點掃描應該在開發階段進行
(D) 弱點掃描不應定期執行

以下依序解釋每個選項的意涵與是否合理：

(A) 「原始碼檢測應該每季執行」

• 說明：原始碼檢測（Source Code Review / SAST）通常建議在重要的開發里程碑、或程式碼有重大變更時進行。若企業有持續整合/持續交付（CI/CD）流程，也可在每次版本要釋出前進行自動化掃描。
• 至於是否每季執行，要視專案規模、開發頻率而定，並沒有一個「一定要每季」的通用標準做法。
• 結論：這樣的敘述有些過度武斷，並非通用或唯一的正確實務規範。

(B) 「滲透測試有機會找出商業邏輯漏洞」

• 說明：滲透測試（Penetration Testing）不只會找程式層面的技術漏洞（如 SQL Injection、XSS 等），若測試人員對系統業務流程了解深入，也可能從測試角度發現商業邏輯上的缺陷（例如購物車金額計算錯誤、交易流程繞過、權限設計不當等）。
• 因此，透過有經驗的滲透測試人員，確實有機會發現商業邏輯漏洞，這也是滲透測試的重要價值之一。
• 結論：本選項敘述正確。

(C) 「弱點掃描應該在開發階段進行」

• 說明：弱點掃描（Vulnerability Scanning）通常會在測試階段、預備上線階段或正式上線後進行，以盡早發現環境設定、常見服務或應用層面的漏洞。
• 雖然在開發階段就部署某些靜態檢測工具（如 SAST）或在容器環境中做掃描，也是一種作法，但一般常見的「弱點掃描」指的是對執行中之系統或服務掃描，通常是在測試/整合/上線前或定期在生產環境做，並非「只在開發階段就能完成」。
• 結論：不能說「應該只在開發階段做」或「一定要在開發階段」，這樣的說法太片面，不完全正確。

(D) 「弱點掃描不應定期執行」

• 說明：一般最佳實務是要定期進行弱點掃描，以持續監控系統可能新增或暴露的漏洞。隨著新漏洞的不斷發現，企業通常建議週期性（如每月、每季）或在重要更新後執行弱點掃描。
• 結論：「不應定期執行」明顯與資安業界普遍做法相反，屬於不正確的觀念。

總結

• (B) 「滲透測試有機會找出商業邏輯漏洞」是題目中相對正確且符合資安實務的說法。
• (A)、(C)、(D) 都存在不夠精確或明顯不符合常見最佳實務的情況。

因此，本題正確選項為 (B)。