关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


Checkmarx源代码静态扫描系统

2016-02-20 21:49 推荐: 浏览: 382字号:

摘要: Checkmarx源代码静态扫描系统Checkmarx CxEnterprise产品说明 随着公司测试中心业务的不断发展,对源代码安全审计的需求越来越迫切。目前对源代码的安全审计主要靠工具实现。经过对市场上常见的几种静态源代码安全扫描工具的对比和分析,确定...

Checkmarx源代码静态扫描系统

Checkmarx CxEnterprise产品说明

随着公司测试中心业务的不断发展,对源代码安全审计的需求越来越迫切。目前对源代码的安全审计主要靠工具实现。经过对市场上常见的几种静态源代码安全扫描工具的对比和分析,确定以色列Checkmarx公司的一款静态源代码扫描工具Checkmarx CxEnterprise版本十分满足测试中心业务中的对源代码的安全审计需求。与其他源代码安全审计工具比较,Checkmarx CxEnterprise具备以下几个独有的特点,主要包括:

  • 操作系统独立

–      Checkmarx CxEnterpris企业服务下的代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码,包括但不限于如下操作系统Windows、 Linux 、AIX,HP-Unix, Mac OS, Solaris。

–      不需要购买额外的硬件服务器和操作系统- Linux 、AIX,HP-Unix, Mac OS, Solaris

  • 编译器独立、开发环境独立,搭建测试环境简单快速且统一

–      由于采用了独特的虚拟编译器技术,代码扫描不需要依赖编译器和开发环境,无需为每种开发语言的代码安装编译器和测试环境,只需要通过CxClient登录到CxManager Application服务器,提供本地代码扫描代码的目录、远程代码目录、和版本管理代码目录(Subversion、CVS,ClearCase即可,扫描代码无需通过编译过程。搭建测试环境快速简单,无需像其它的静态分析工具,必须在相应的操作系统上安装相应的工具软件包,安装众多开发工具和代码依赖的第三方库及软件包、调试代码通过编译,方可进行测试。CxSuite CxEnterprise安装一次,即可扫描Java代码、C/C++代码、.NET代码JSP、JavaSript 、VBSript、 .、C# 、 ASP.net 、VB.Net、VB6、 、ASP 、Apex Visual Force 、PHP … 等各种语言代码,并且不管这些代码是在windows平台、Linux平台或者其它平台的

–      无需购买各种语言的开发环境和编译器,大大节约试验室扫描代码环境的搭配

  • 工具学习、培训和使用的成本少,最小化影响开发进度 :

–      由于编译器、操作系统和开发环境独立,使用者无需去学习每种平台下如何去编译代码,调试代码、如何扫描测试代码,无需去看每种平台下繁琐的使用手则。因为Checkmarx CxEnterrise服务只需要提供源代码即可扫描,并给出精确的扫描结果

  • 低误报:

–      CxEnterprise 企业服务在扫描过程中全面分析应用的所有路径和变量。准确的分析结果,验证可能的风险是否真正导致安全问题,自动排除噪音信息,扫描结果几乎就是最终的分析结果,其误报率(False Positive)几乎为零。极大的减少了审计分析的人工劳动成本,极大的节省了代码审计的时间,为开发团队赢得更多的开发时间。

  • 安全漏洞覆盖面广且全面 (低漏报):

–      数以百计的安全漏洞检查适合任于何组织,支持最新的OWASP、CWE、SANS、PCI、SOX等国际权威组织对软件安全漏洞的定义。漏洞覆盖面广,安全检查全面,其自定义查询语言CxQL可以让用户灵活制定需要的代码规则,极大的丰富组织特定的代码安全和代码质量的需要 。

  • 安全查询规则清晰且完全公开实现 :

–      规则定义清晰,并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险,透明各种语言风险。让用户知道工具已经做了那些工作,没有做那些该工作。而不是给用户一个黑匣子,用户无法了解工具的细节和缺陷,无法在代码审计过程中规避工具的风险(比如漏报和误报),比如利用人工或者其它手段查找工具不能定位的问题。

–      可以移植该工具库的知识到其他工具里去,完善其他工具的能力

  • 安全规则自定义简单高效

–      由于公开了所有规则实现的细节和语法,用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则,规则学习,定义简单高效。能快速实现组织软件安全策略。

–      可以累积试验室的安全研究成果,把实验室的成果转换成查询规则,然后用自动化的方式去验证试验室的安全知识对实际系统的应用情况.

  • 支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描。
联系站长租广告位!

中国首席信息安全官
Copy link