Checkmarx是一家应用安全软件公司,使命是为企业组织提供应用安全测试产品和服务,帮助开发人员更快交付安全软件。该公司的1400多家客户中有5家是世界十大软件供应商,还有许多财富500强和政府机构,包括SAP、三星、百度等。
Checkmarx平台将应用安全与DevOps文化结合起来,从编码阶段一直贯穿到SDLC的应用运行测试阶段,检测并修复漏洞。Checkmarx通过将以下三层结合到一个整体解决方案中,使得开发人员能够更快地交付安全应用。
CxSAST:高度准确和灵活的源代码分析产品,能够让组织自动扫描未经编译/构建的代码,识别最流行的编码语言中的数百个安全漏洞。
CxIAST:漏洞检测运行测试中的应用的解决方案。为DevOps而打造,无缝集成到CI/CD通道中。CxIAST提供高级漏洞检测功能,对测试周期的时间无影响。
CxOSA:将开源分析作为SDLC执行的一部分,并管理开源组件,以确保易受攻击的组件在其成为问题之前被去除或替换。
CxSAST
CxSAST可作为独立产品使用,并能有效地整合到SDLC中,简化检测和修复。CxSAST可以内部部署在私有数据中心或通过公共云来托管。
对于想要最小化应用安全风险的企业公司,CxSAST提供了在SDLC早期消除漏洞的能力。与其他SAST解决方案不同,CxSAST能够被开发团队广泛采用,这是由于其能无缝地适应他们现有的软件开发生命周期。
◆ 扫描未经编译的代码
CxSAST扫描原始源代码,意味着能够从开发生命周期的早期开始扫描代码,此时识别安全漏洞是最有效的。这也意味着永远不需要考虑代码的编译构建,允许随时可以扫描代码片段。
◆ 透明化而且容易定制
CxSAST的产品设计是使用一个开放的查询语言,意味着很容易看到CxSAST扫描了什么,以及如何扫描的。它可以迅速修改到指定的环境,告诉工具之外的方法,把误报率和漏报率降至微不足道的程度。高级用户往往会添加自己的查询和使用CxSAST执行最好的编码实践,遵循特定的规定,等等。
◆ 优化修复工作
CxSAST不止识别代码中的所有安全漏洞。而且致力于优化修复工作, 对程序中的数据流提供鸟瞰视图,标识关键节点, 通过单一的修复,消除多个漏洞。
◆ 不重复扫描没有改变的代码
如果只是修改了几行代码,使用CxSAST独特的增量扫描功能,不会重复扫描整个代码库。它只扫描分析上次扫描之后改变的代码及其依赖文件。这加快了结果生成,在敏捷环境中尤其有用。
◆ 集成到构建过程
CxSAST能非常灵活地集成到现有的SDLC,使用户自主选择安全策略,并且自动执行。CxSAST支持最常见的源代码库、构建服务器、bug跟踪工具、IDE和报告系统,能够简化安全测试并确保尽可能有效。
◆ 扫描的漏洞包括:
■SQL注入
■跨站脚本
■代码注入
■缓存溢出
■参数改
■跨站请求伪造
■HTTP拆分
■日志伪造
■拒绝服务
■会话固定
■未处理的异常
■未释放的资源
■未经验证的输入
■危险的文件
■硬编码的密码
◆ 支持的语言
◆ 支持的标准
▷ OWASP Top 10 2013/2017
▷ SANS 25
▷ HIPAA
▷ MITRE CWE
▷ FISMA
▷ PCI DSS
▷ MISRA
▷ BSIMM
CxIAST
传统的动态应用安全测试(DAST)是作为一个“安全门”(Security Gate)部署的,因为长时间的扫描拖延了产品的推出。CxIAST持续的AppSec测试则消除了这种延时,因为漏洞是实时检测的。这填补了你的应用安全中的一个主要区域,因为某些漏洞和缺陷只能在应用运行期间才能检测。CxIAST的安装和使用都很简单,是CxSAST、CxOSA的补充。
CxIAST使用一个可定制的代理。Checkmarx开放的查询语言允许你修改现存的安全规则,甚至编写自己的规则,CxIAST识别整个上下文环境以便检测漏洞,一旦数据值传递到运行中的代码,它就可以快速准确地找出漏洞,最小化误报。
◆ 缩短产品上市时间,且不会影响安全性
◆ 在DevOps和CI/CD工作流中平衡动态应用安全测试
◆ 补充Checkmarx SAST和开源分析
◆ 准确监控应用的行为,实时检测漏洞,包括OWASP Top 10
◆ 检测的漏洞包括:
▷ SQL注入
▷ XSS注入
▷ 操作系统命令注入
▷ 路径遍历
▷ XPath注入
▷ 参数篡改
▷ 开放重定向
▷ 跨站请求伪造
CxOSA
开源是免费的,使用开源缩短产品上市时间,而且开源代码通常有很大的社区对它进行测试和改进。但是开源像其他代码一样有着安全漏洞,所以必须持续地监控和管理对开源的使用以便在开发的早期解决问题。Checkmarx CxOSA解决方案允许企业管理、控制和防止开源组件引入的安全和法律风险。CxOSA是开源检测工具WhiteSource在Checkmarx中实现的组件。
◆ 持续监控开源代码
◆ 无缝集成到整个CxSAST解决方案
◆ 识别开源漏洞
◆ 简单定义和实施组织合规策略
◆ 识别安全漏洞时发出警告
◆ 支持的语言: