产品概述  

  Checkmarx是一家应用安全软件公司,使命是为企业组织提供应用安全测试产品和服务,帮助开发人员更快交付安全软件。该公司的1400多家客户中有5家是世界十大软件供应商,还有许多财富500强和政府机构,包括SAP、三星、百度等。

  Checkmarx平台将应用安全与DevOps文化结合起来,从编码阶段一直贯穿到SDLC的应用运行测试阶段,检测并修复漏洞。Checkmarx通过将以下三层结合到一个整体解决方案中,使得开发人员能够更快地交付安全应用。


CxSAST:高度准确和灵活的源代码分析产品,能够让组织自动扫描未经编译/构建的代码,识别最流行的编码语言中的数百个安全漏洞。

CxIAST:漏洞检测运行测试中的应用的解决方案。为DevOps而打造,无缝集成到CI/CD通道中。CxIAST提供高级漏洞检测功能,对测试周期的时间无影响。

CxOSA:将开源分析作为SDLC执行的一部分,并管理开源组件,以确保易受攻击的组件在其成为问题之前被去除或替换。

功能特性

CxSAST

CxSAST可作为独立产品使用,并能有效地整合到SDLC中,简化检测和修复。CxSAST可以内部部署在私有数据中心或通过公共云来托管。

对于想要最小化应用安全风险的企业公司,CxSAST提供了在SDLC早期消除漏洞的能力。与其他SAST解决方案不同,CxSAST能够被开发团队广泛采用,这是由于其能无缝地适应他们现有的软件开发生命周期。

扫描未经编译的代码

CxSAST扫描原始源代码,意味着能够从开发生命周期的早期开始扫描代码,此时识别安全漏洞是最有效的。这也意味着永远不需要考虑代码的编译构建,允许随时可以扫描代码片段。

透明化而且容易定制

CxSAST的产品设计是使用一个开放的查询语言,意味着很容易看到CxSAST扫描了什么,以及如何扫描的。它可以迅速修改到指定的环境,告诉工具之外的方法,把误报率和漏报率降至微不足道的程度。高级用户往往会添加自己的查询和使用CxSAST执行最好的编码实践,遵循特定的规定,等等。

优化修复工作

CxSAST不止识别代码中的所有安全漏洞。而且致力于优化修复工作, 对程序中的数据流提供鸟瞰视图,标识关键节点, 通过单一的修复,消除多个漏洞。

不重复扫描没有改变的代码

如果只是修改了几行代码,使用CxSAST独特的增量扫描功能,不会重复扫描整个代码库。它只扫描分析上次扫描之后改变的代码及其依赖文件。这加快了结果生成,在敏捷环境中尤其有用。

集成到构建过程

CxSAST能非常灵活地集成到现有的SDLC,使用户自主选择安全策略,并且自动执行。CxSAST支持最常见的源代码库、构建服务器、bug跟踪工具、IDE和报告系统,能够简化安全测试并确保尽可能有效。

扫描的漏洞包括:

         SQL注入

        跨站脚本

         代码注入

        缓存溢出

         参数改

        跨站请求伪造

         HTTP拆分

         日志伪造

         拒绝服务

         会话固定

         未处理的异常

         未释放的资源

         未经验证的输入

         危险的文件

         硬编码的密码

支持的语言

支持的国际安全规范标准

典型案例

 

某国企测评机构

目前所面临的安全问题主要是需要大量测试软件应用系统中源代码存在安全漏洞所导致,原有工具扫描结果误报率过高,动辄数万的缺陷对测试部门人手不足的情况带来巨大的审查工作量。Checkmarx的高准确率及易于定制化规则的特性,可有效减少误报漏报问题,也可对扫描结果进行有效管理和跟踪。通过一段时间积累,根据Checkmarx CxQLAPI和公开的规则源代码,逐步定义一系列自己的规则使其能够快速准确地实现技术需求。这一系列“自动化成果”极大提高了检测水平和效率,加速了系统的安全交付。

Checkmarx官方认证合作伙伴

Copyright © 北京嘉连勤科技有限公司版权所有   备案号:京ICP备17048964号


日本办事处地址:東京都港区海岸3-2-9サンビルディング 2F


深圳办事处地址:深圳市南山区高新一道9号软件大厦812

北京总部地址:北京市海淀区高梁桥斜街59号1号楼中坤大厦14层1417


联系电话:+86-10-62440970


​联络邮箱:postmaster@jelentsin.com


服务支持:support@jelentsin.com

联系我们