申論題

源碼檢測是最基本的網頁程式稽核方式。透過對原始碼的檢查，挖掘已知或未知的網頁問題。常見的作法是利用人力檢測，公司自有的資深工程師負責，對品質要求較為嚴格的單位，則會雇用資安專家協助進行。但近年來各種工具已將檢測準確率提升到九成以上，故也有許多公司採用自動工具進行檢測。

開發過程中隨時都需要的源碼檢測
就像時下線上遊戲最流行的公測（找玩家試完以進行測試），或一般程式開發流程中的Beta Test要求（由使用者需求檢查功能是否正常），安全源碼檢測需要第三方檢查，方能找出所有安全瑕疵。較為不同的是，遊戲公測或Beta Test 通常是程式完工前的最後一關，源碼檢測卻是開發流程中每一階段都需要作完，才能移至下一階段的必備手續。專屬的資安人員是較為適合的人選，但如前所述，成本較高，尤其是時間成本。

滲透測試 .一個組織想要瞭解自己的員工對於各種資訊安全攻擊方法的反應的測試

滲透測試服務 (Penetration Test, PT) 是委請受信任的第三方專業資安團隊，從駭客的角度出發，模擬攻擊者的思考方式對企業進行各種入侵攻擊測試。

滲透測試執行期間，資安專家會以駭客思維嘗試入侵該企業的網站、網路系統、儲存設備等軟硬體，找出各種潛在的漏洞，以驗證企業的設備與資料是否可被破壞或竊取，同時也評估資訊系統與硬體的全盤架構，確認其安全性是否有待加強。

滲透測試結束後，專家會列出詳細的攻擊手法與步驟，提供完整的修補建議並輔導開發者修補漏洞，讓企業能儘速降低遭受入侵的風險。開發者修補完畢後，資安團隊會再次確認是否可使用其他手法繞過防護，以確保企業不會因為同樣的問題遭受損失。

弱點掃描可由自動化掃描軟體在較短的時間內執行完畢，因此時間與金錢成本相對較低。但是弱點掃描僅能檢測既有的漏洞，無法及時檢測出最新的資安漏洞並給予修補建議，同時對於弱點的誤判率也較高。目前滲透測試為求完整，通常已將弱點掃描包含在內。詳細的關係圖與比較表如下所示：