应用程序安全性测试Checkmarx
Checkmarx是一家应用安全软件公司,使命是为企业组织提供应用安全测试产品和服务,帮助开发人员更快交付安全软件。该公司的1400多家客户中有5家是世界十大软件供应商,还有许多财富500强和政府机构,包括SAP、三星、百度等。
Checkmarx平台将应用安全与DevOps文化结合起来,从编码阶段一直贯穿到SDLC的应用运行测试阶段,检测并修复漏洞。Checkmarx通过将以下三层结合到一个整体解决方案中,使得开发人员能够更快地交付安全应用。
CxSAST:高度准确和灵活的源代码分析产品,能够让组织自动扫描未经编译/构建的代码,识别最流行的编码语言中的数百个安全漏洞。
CxIAST:漏洞检测运行测试中的应用的解决方案。为DevOps而打造,无缝集成到CI/CD通道中。CxIAST提供高级漏洞检测功能,对测试周期的时间无影响。
CxOSA:将开源分析作为SDLC执行的一部分,并管理开源组件,以确保易受攻击的组件在其成为问题之前被去除或替换。
CxSAST
CxSAST可作为独立产品使用,并能有效地整合到SDLC中,简化检测和修复。CxSAST可以内部部署在私有数据中心或通过公共云来托管。
对于想要最小化应用安全风险的企业公司,CxSAST提供了在SDLC早期消除漏洞的能力。与其他SAST解决方案不同,CxSAST能够被开发团队广泛采用,这是由于其能无缝地适应他们现有的软件开发生命周期。
◆ 扫描未经编译的代码
CxSAST扫描原始源代码,意味着能够从开发生命周期的早期开始扫描代码,此时识别安全漏洞是最有效的。这也意味着永远不需要考虑代码的编译构建,允许随时可以扫描代码片段。
◆ 透明化而且容易定制
CxSAST的产品设计是使用一个开放的查询语言,意味着很容易看到CxSAST扫描了什么,以及如何扫描的。它可以迅速修改到指定的环境,告诉工具之外的方法,把误报率和漏报率降至微不足道的程度。高级用户往往会添加自己的查询和使用CxSAST执行最好的编码实践,遵循特定的规定,等等。
◆ 优化修复工作
CxSAST不止识别代码中的所有安全漏洞。而且致力于优化修复工作, 对程序中的数据流提供鸟瞰视图,标识关键节点, 通过单一的修复,消除多个漏洞。
◆ 不重复扫描没有改变的代码
如果只是修改了几行代码,使用CxSAST独特的增量扫描功能,不会重复扫描整个代码库。它只扫描分析上次扫描之后改变的代码及其依赖文件。这加快了结果生成,在敏捷环境中尤其有用。
◆ 集成到构建过程
CxSAST能非常灵活地集成到现有的SDLC,使用户自主选择安全策略,并且自动执行。CxSAST支持最常见的源代码库、构建服务器、bug跟踪工具、IDE和报告系统,能够简化安全测试并确保尽可能有效。
◆ 扫描的漏洞包括:
■SQL注入
■跨站脚本
■代码注入
■缓存溢出
■参数改
■跨站请求伪造
■HTTP拆分
■日志伪造
■拒绝服务
■会话固定
■未处理的异常
■未释放的资源
■未经验证的输入
■危险的文件
■硬编码的密码
◆ 支持的语言
◆ 支持的标准
▷ OWASP Top 10 2013/2017
▷ SANS 25
▷ HIPAA
▷ MITRE CWE
▷ FISMA
▷ PCI DSS
▷ MISRA
▷ BSIMM
CxIAST
传统的动态应用安全测试(DAST)是作为一个“安全门”(Security Gate)部署的,因为长时间的扫描拖延了产品的推出。CxIAST持续的AppSec测试则消除了这种延时,因为漏洞是实时检测的。这填补了你的应用安全中的一个主要区域,因为某些漏洞和缺陷只能在应用运行期间才能检测。CxIAST的安装和使用都很简单,是CxSAST、CxOSA的补充。
CxIAST使用一个可定制的代理。Checkmarx开放的查询语言允许你修改现存的安全规则,甚至编写自己的规则,CxIAST识别整个上下文环境以便检测漏洞,一旦数据值传递到运行中的代码,它就可以快速准确地找出漏洞,最小化误报。
◆ 缩短产品上市时间,且不会影响安全性
◆ 在DevOps和CI/CD工作流中平衡动态应用安全测试
◆ 补充Checkmarx SAST和开源分析
◆ 准确监控应用的行为,实时检测漏洞,包括OWASP Top 10
◆ 检测的漏洞包括:
▷ SQL注入
▷ XSS注入
▷ 操作系统命令注入
▷ 路径遍历
▷ XPath注入
▷ 参数篡改
▷ 开放重定向
▷ 跨站请求伪造
CxOSA
开源是免费的,使用开源缩短产品上市时间,而且开源代码通常有很大的社区对它进行测试和改进。但是开源像其他代码一样有着安全漏洞,所以必须持续地监控和管理对开源的使用以便在开发的早期解决问题。Checkmarx CxOSA解决方案允许企业管理、控制和防止开源组件引入的安全和法律风险。CxOSA是开源检测工具WhiteSource在Checkmarx中实现的组件。
◆ 持续监控开源代码
◆ 无缝集成到整个CxSAST解决方案
◆ 识别开源漏洞
◆ 简单定义和实施组织合规策略
◆ 识别安全漏洞时发出警告
◆ 支持的语言:
某互联网企业
企业自研了支持部分编程语言的检测工具,并且熟知业内主流的商业检测工具,最终选择Checkmarx作为其源代码安全检测的有力补充。除了满足“提供API”、“自定义扫描规则”、“支持增量扫描”、“低误报”等功能需求外,更加青睐Checkmarx能够扫描未经编译的源代码(使用基于编译的SAST工具消耗了安全团队大量精力,并且通常需要研发团队的协助)的能力,并认同Checkmarx软件安全开发向左移(Shift Left)的方法理念,以及对Java语言多样性框架支持的完整性。安全团队有计划对Checkmarx CxEngine进行持续扩容,以进一步提高使用范围和扫描性能。
某金融企业
目前所面临的安全问题主要是大量外包开发的软件应用系统的源代码中存在安全漏洞所导致,原有工具扫描结果误报率过高,动辄数万的缺陷对科技部人手不足的情况带来巨大的审查工作量。Checkmarx的高准确率及易于定制化规则的特性,可有效减少误报漏报问题,也可对扫描结果进行有效管理和跟踪。通过一段时间积累,银行制定了Top缺陷方式并根据Checkmarx CxQL、API和公开的规则源代码,逐步定义一系列自己的规则使其能够快速准确地实现技术需求。这一系列“自动化成果”极大提高了检测水平和效率,加速了系统的安全交付。
