您将使用什么评估标准来选择正确的 Oracle 扫描工具？

语境：

部署自动化扫描工具（nessus / SQuirreL 等）供开发团队和安全团队使用。

两个团队在构建阶段、持续管理（修补、更改数据库结构）和保证相关活动（如内部审计或安全审查）期间使用的一种工具。

一个例子是：

限制密码破解的能力。虽然这可能对安全团队有价值，但我不希望开发团队能够破解密码。

所以现在冒着提供我自己答案的风险（仍然渴望对此有更多的想法！）。我想出了以下几点：

• 该工具是否提供根据自己的内部标准生成的合规报告

这对于开发团队确保构建满足所需级别很有用。

• 该工具是否生成针对外部标准生成的合规性报告

例如 CIS 或 NIST，因为这将让安全团队比较批准的构建和行业最佳实践之间的差异。

• 能够进行漏洞扫描

构建是否真的提供了足够的保护？使用漏洞扫描/分析方法来测试构建的安全暴露。

• 该工具是否会生成有关缺失补丁的报告？

• 我可以将扫描限制在特定资产/用户组吗？

还有其他有用的吗？