公司有代理多種，針對不同的裝置、應用上的資安檢測產品。而我所在的部門主要針對網頁應用系統進行防護，包含了五種方案：

1. 滲透測試 (Penetration Testing, PT)

2. 網頁應用系統防火牆 (Web Application Firewall, WAF)

3. 動態應用系統安全測試 (Dynamic Application Security Testing, DAST)

4. 靜態應用系統安全測試 (Static Application Security Testing, SAST)

5. 互動式應用系統安全測試 (Interactive Application Security Testing, IAST)

​

目前我所在的團隊主要是靜態應用系統安全測試，也就是源碼檢測。在產品服務平台上，接收顧客對於源碼檢測通報風險相關問題，包括：說明弱點發生原因或定義、協助修改程式碼以完善應用系統防護、協助審查疑似誤判的情況、協助排除工具在使用時因OS、語言套件、第三方服務套件發生的問題或是編寫一些客戶希望增加在工具中的功能。

​

處理最多的是協助審查疑似誤判的情況，因為每位顧客編寫網頁應用程式的語言、寫法不盡相同，且源碼檢測工具也是人寫出來的，不大可能每種驗證都能加入Query裡面，從而導致許多有效的防禦方法被漏判，於是乎看過了不少有趣的寫法，從中獲益良多。