"代码审计报告" 这种玩意有行情价吗?

之前大概接触过，报价的方式是，按照代码行数。

@supemaomao 卧槽, 统计的时候, 会不会把 node_modules 目录中的代码也统计进去?

如果前端只需要编译就行, 会不会把后台的 vendor 目录中的代码也算进去?

@skyworker 应该不包含 node_modules 的，前端不是很确定，但是后端我们当时是不包含引用的包。

业务代码行数

@supemaomao 但是我们其实不太想把真实的业务代码给第三方公司去看, 万一泄露了也很没法. 三方审计公司如何保证当前代码是否为最终代码?

或者说, 第三方公司这是把拿到的代码审计后, 给出报告. 至于软件公司最终给客户部署的是那个代码, 其实大家都无所谓. 甲方只要让乙方提供这个报告, 能走采购流程就行.

@skyworker 他不需要确认你们是最终版。只需要给出这个报告。

@supemaomao 只需要基于你们给出的这一版做测试，确认代码能运行。好像是这样的，我们当时在给出报告以后，还迭代了几个版本。

审计公司出的报告内容只对你提供的版本有效，做审计也不是一定要提供代码给第三方，你需要搞清楚的是甲方要求的审计报告有没有特殊要求，是不是对做审计的公司有要求，如果没有，你们自己使用代码审计工具跑一个报告就行了

@supemaomao 那给一个混淆或者加密过的代码, 是否可行?

安全行业的人来说一句，审计真的看不上你的代码，首先会有各种流程保障数据不会出去，另外如果你的代码一旦出现泄露最后发现是审计渠道出去的，你知道会有多严重吗。。。

当然，如果你的项目足够机密，那就花钱让他们上门做审计，机器完全断网环境，现场出报告。
至于你说的代码混淆或者加密，那我请问你让我审计个啥，真出了报告有意义吗

你问他们接受哪些第三方再去问报价吧，自己找了人家又不认就恶心了

@dko 客户要求我们的商业版本提供代码审计报告, 不是某个项目的代码.

防人之心不可无, 毕竟国内的商业环境, 还不是能让每个人都放下

@skyworker 那你就花钱让审计现场出报告。

我们单位做相关业务，可联系报价，https://cshield.vip/r/4k0u5C