Checkmarx 简介
Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx
CxSAST的生产商,拥有应用安全测试的业内前沿解决方案:CxSAST、CxOSA、CxIAST。
Checkmarx CxSAST功能概述
Checkmarx
CxSAST无需搭建软件项目源代码的构建环境即可对代码进行数据流分析。通过与各种SDLC组件的紧密集成(带有集成套件的SDLC版本支持更全面),CxSAST可实现分析过程的完全自动化,并为审计员和开发人员提供对结果和补救建议的即时访问。
漏洞检测
- 扫描的是未经编译的源代码,从源头查找漏洞,能够查找到的漏洞类型包括但不限于SQL注入、跨站脚本攻击、跨站请求伪造、代码注入、命令注入、XPath注入、缓冲区溢出、参数篡改、会话完成攻击、拒绝服务、日志伪造、资源泄漏、危险文件上传、硬编码密钥、未验证输入等超过1800种漏洞。
- 增量扫描,只扫描最近增加和修改的源文件及其关联部分。使用增量扫描功能,减少代码重复扫描,提高扫描效率,节省扫描时间。
- 缺陷检测结果支持定位到代码路径、代码文件、代码行号。
- 代码漏洞支持数据流标识,提供最佳修复点,CxSAST会对同类漏洞进行深入分析,以图形化方式为关联的多个漏洞提供最佳修复点,帮助开发人员提高漏洞修复效率。
- 检测结果支持按缺陷等级、缺陷类型进行分类统计。
- 提供安全问题的详细描述和推荐修复建议。
扫描功能
- 报告格式支持PDF、XML、CSV、RTF。
- 报告内容包括缺陷等级、缺陷类型、修复建议、跟踪路径。
- 针对客户的个性化需求定制各类报表,能自定义漏洞等级。
- 支持检测报告增量对比功能,能够支持对项目的两次测试结果的比较报告,并罗列审计状态的比较。
- 为开发人员和安全测试人员提供漏洞跟踪和修复建议。
项目管理&账户管理
- 支持创建多个项目、提供任务列表,支持多任务排队扫描、循环扫描、按时间调度扫描等。
- 支持基于组织的项目组管理,扫描项目仅组内或更高级别管理人员可见。
- 具备用户管理及权限分级功能,支持多用户提交代码检测任务及查询结果
支持的开发语言及框架
- 支持检测25种常用开发语言,包括但不限于:Go、C、C++、C#、Java、Android Java、HTML5、JavaScript、ASP.NET、PHP、Perl、Python、Ruby、Objective-C、Swift、Scala。
- 支持多种主流框架,包括但不限于:Struts、Spring MVC、Spring Dependency Injection、iBatis、GWT、Hibernate、OWASP ESAPI、JSTL FMT Taglib、ATG DSP Taglib、Java Server Faces (JSF)、Zend、Kohana、AngularJS、Node.js、ReactJS。
第三方集成
- 支持与主流IDE(Visual Studio, Eclipse,IntelliJ)开发环境集成。
- 支持与软件开发版本控制系统(如:Git、SVN、TFS)、资源库托管服务(GitHub)对接,能配置定时检测计划自动获取源代码进行定时周期性检测。
- 支持与软件构建自动化工具(Apache Ant、Maven)集成。
- 支持与持续集成平台(Bamboo、Jenkins)集成。
- 支持与版本跟踪和项目管理软件(JIRA)集成。
- 支持与应用程序漏洞管理平台(ThreadFix)集成。
- 支持与持续代码质量检查平台(SonarQube)对接。
- 开放的API,可与用户的私有或非流行系统集成。
审计功能
- 提供加白(减少误报)功能,对漏洞具有备注或标记功能。
- 支持扫描规则自定义配置,可修改扫描规则,可自定义规则集。
- 通过自定义规则降低漏报误报率:Checkmarx提供灵活的自定义规则(CxAudit),实现高度准确的扫描。修改规则集,以适应私有源代码,减少误报。扩展规则集,以达到兼容性需求和最佳代码实践。Checkmarx的所有规则都是公开的,查看扫描规则,可理解扫描结果产生的根源。
