Checkmarx源码分析工具

应用安全测试            

开发人员真正在使用

我们做什么                                  

Checkmarx的CxSAST是一种非常准确和灵活的源代码分析产品,能够让企业自动扫描未编译/未构建的代码,并在最流行的编程语言中识别数百个安全漏洞。

CxSAST可作为独立产品提供,并能有效地整合到软件开发生命周期(SDLC)中,以简化检测和修复。CxSAST可以内部部署在私有数据中心或通过公共云来托管。

关于CHECKMARX

Checkmarx是应用安全测试解决方案的领导者。客户包括全球十大软件厂商中的四家,以及来自各行各业数百家财富500强和中小企业。

为什么选用CxSAST

对于想要最小化应用安全风险的企业公司,CxSAST提供了在SDLC早期即能消除漏洞的能力。 与其他SAST解决方案不同,CxSAST被开发团队广泛采用,这是因为它能无缝地适应他们现有的软件开发生命周期。

“静态分析产品”中唯一一个得到满分5.0的厂商,2014年度AST关键能力报告。

支持的开发语言

 安全化SDLC

Checkmarx使企业能够将静态应用安全测试整合到其SDLC中。

我们与最流行的源码库、构建管理服务器、bug跟踪工具整合,并为主要的IDE提供插件。即使我们不兼容您的某个SDLC组件现成的整合,可通过我们完整的API轻松完成定制。完全整合的SAST模型的优点有:

安全团队只需设定安全策略,便可以使用Checkmarx自动扫描代码中的漏洞。

最新代码片段的安全测试意味着任何发现都可以由开发人员快速修复。这明显降低成本并避免临近发布时必须处理的许多安全漏洞问题。

支持扫描的漏 洞

CxSAST扫描支持数百种漏洞,包括以下常见种类:

SQL注入                          跨站脚本                      代码注入

缓冲区溢出                      参数篡改                      跨站请求伪造

HTTP响应拆分                日志伪造                      拒绝访问                                               

会话完成攻击                   会话中毒                     未处理异常

资源未释放                       未验证输入                 危险文件上传

硬编码密码                     更多...

支持的标准

Top 10 2013                     Mobile Top 10                  SANS 25               HIPAA             Mitre CWE

常问问题

Checkmarx能提供什么类型的报告?

Checkmarx以PDF、RTF、CSV或XML形式提供项目进度报告和可配置仪表盘。

支持扫描移动应用吗?

支持的,Checkmarx完全支持Android、iOS、Windows和混合型移动应用。

如何做到的?

Checkmarx解析源代码(无需编译),将其存储在数据库中,然后使用数百个规则查询,以查找漏洞。

Checkmarx提供的是产品还是服务?

Checkmarx提供本地解决方案和私有或公共托管解决方案,包括托管服务。

我能用Checkmarx来了解代码中的更改如何导致漏洞吗?

能,Checkmarx提供扫描的并行比较,并指出差异。

是什么让我们独一无二?

能扫描未编译的代码

我们能够扫描原始源代码,这意味着您能从开发生命周期的最早阶段开始扫描您的代码,并能有效地识别安全问题。也意味着您永远不必担心实现编译构建,它能让您在任何时间扫描代码段。

透明且易于定制

Checkmarx产品是基于开放查询语言设计的,这意味着能很容易地看到Checkmarx的扫描内容及原理。它可以根据您特定环境快速定制,并传授框架中未有的任意防御方法,从而将误报率和漏报率降低到可以忽略的程度。高级客户倾向于添加自己的查询,并使用Checkmarx执行最佳编码实践,遵守特定规则等。

优化您的修复工作

Checkmarx不仅能识别代码中的所有安全漏洞。我们还能优化您的修复工作,能分析应用程序中的数据流,并通过单个修复来消除多个漏洞的关键联结。

不重复扫描未变化的代码

Checkmarx具有独特的增量扫描功能,如果仅有几行代码改变,我们不需要重新扫描整个代码库。我们分析自上次扫描后更改的代码及其相关文件,并仅扫描它们。快速得到结果,这在快节奏的敏捷开发环境中特别有用。

整合到您的开发过程中

Checkmarx足够灵活,可以整合到您现有的SDLC中,以便您决定所需的安全策略,Checkmarx会自动帮您强制执行。我们支持最常见的源码库,构建服务器,bug跟踪工具,IDE和报告系统,以简化安全测试,并确保其尽可能有效。

涵盖最常用的编程语言

我们目前支持20种编程和脚本语言及其最流行的框架,每年增加2到3种新语言。

所获殊荣

在EMEA增长第二快的安全公司 2nd Fastest Growing Security Company in EMEA

安全产品头20名

Red Herring EMEA头100名

Cyber Defense Magazine评出的2014年度最佳应用安全产品

常问问题

能与构建管理系统集成吗?

能。我们目前有Jenkins、Bamboo、TeamCity、TFS、Anthill Pro等插件。

多长时间发布产品更新?

每年都会发布一个新版本。每季度发布一个Service Pack。修补程序根据需要进行发布。

你们的误报率是多少?

Checkmarx的误报率很低(小于5%)。在用户界面中,通过将结果标记为误报,以使规则适应您的环境来实现。我们的专业服务团队可为您做这些。

必须每次重新扫描我的整个代码库吗

不需要。增量扫描选项将仅自动扫描更新的文件及其依赖项。

CXSAST查看器

CxSAST查看器为安全专业人员和开发人员提供了最佳的用户体验,使他们能够调查已识别的漏洞并确定最佳的补救措施。查看器显示攻击向量和从输入到接收的数据流。

单击节点将显示相关代码行和修复方法。

仪表盘 & 报告

使用Checkmarx分析数据和生成报告很方便。您可以使用预定义的数据分析报告,也可以通过直观的拖放机制修改和创建您自己指定要分析的参数、希望如何更改数据以及指定图形类型。修改将实时生效。然后可将分析结果导出为PDF或Excel。

优化修复效果

Checkmarx不只有识别漏洞的步骤。除了列出调查结果,我们利用图形理论算法来整合攻击向量,并指出多个攻击向量流经的关键连接点,作为修复代码的最佳位置。图形视图通过确保它们修复代码中最少量的位置,以实现完全覆盖,来优化开发人员修复工作。

 “使用Checkmarx比其他工具更容易。重要的是 - 你不需要将它整合到你的构建过程中,只需把源代码扔进去。

团队对他们所获得的支持水平非常满意。尽管有时差,但既专业又及时。”

Vitaly Osipov,信息安全专家

“Checkmarx被我们的信息安全团队和我们的开发人员所喜爱。 它易于使用并提供高度精确的结果,同时提供我们实施应用程序安全策略所需的灵活性。”

Kobi Lechner,信息安全经理

“Checkmarx的技术非常准确和易于使用。它提供了卓越的性能和扫描不完整代码的能力。 Checkmarx足够敏捷支持我们安全SDLC的特殊要求,是商业上最明智的选择。”

安全专员

Salesforce.com选择了Checkmarx的静态代码分析工具作为Force.com安全代码扫描器。至今已检测超过25亿行代码,检测到200万个漏洞,Checkmarx确保所有AppExchange应用程序获得最高安全标准。