问对于Oracle扫描工具，您会使用什么评估标准？

EN

您将使用什么评估标准来选择正确的Oracle扫描工具？

上下文：

部署自动化扫描工具(nessus / SQuirreL等)，供开发团队和安全团队使用。

这两个小组在构建阶段使用的一个工具是持续管理(修补、更改DB结构)和与保证有关的活动(如内部审计或安全审查)。

这方面的一个例子是：

限制密码破解的能力。虽然这可能对安全团队有价值，但我不希望开发团队能够破解密码。

因此，现在冒着提供我自己的答案的风险(仍然渴望对此有更多的想法！)我想出了以下几点：

• 该工具是否提供根据自己的内部标准生成的合规报告？

这将有助于Dev团队确保构建满足所需的级别。

• 该工具是否根据外部标准生成法规报告？

例如CIS或NIST，因为这将使安全团队比较已批准的构建和行业最佳实践之间的差异。

• 进行漏洞扫描的能力

建筑实际上提供了足够的保护吗？使用漏洞扫描/分析方法测试构建的安全性暴露。

• 该工具是否会生成缺失补丁的报告？
• 是否可以将扫描限制为特定的资产/用户组？

还有其他有用的吗？