CxSAST
CxSAST可作為獨立產品使用���,并能有效地整合到SDLC中�,簡化檢測和修復���。CxSAST可以內部部署在私有數據中心或通過公共云來托管��。
對于想要最小化應用安全風險的企業公司��,CxSAST提供了在SDLC早期消除漏洞的能力���。與其他SAST解決方案不同����,CxSAST能夠被開發團隊廣泛采用��,這是由于其能無縫地適應他們現有的軟件開發生命周期�����。
◆ 掃描未經編譯的代碼
CxSAST掃描原始源代碼����,意味著能夠從開發生命周期的早期開始掃描代碼���,此時識別安全漏洞是最有效的��。這也意味著永遠不需要考慮代碼的編譯構建�����,允許隨時可以掃描代碼片段��。
◆ 透明化而且容易定制
CxSAST的產品設計是使用一個開放的查詢語言����,意味著很容易看到CxSAST掃描了什么�����,以及如何掃描的����。它可以迅速修改到指定的環境�����,告訴工具之外的方法����,把誤報率和漏報率降至微不足道的程度�。高級用戶往往會添加自己的查詢和使用CxSAST執行最好的編碼實踐,遵循特定的規定���,等等�。
◆ 優化修復工作
CxSAST不止識別代碼中的所有安全漏洞����。而且致力于優化修復工作, 對程序中的數據流提供鳥瞰視圖��,標識關鍵節點, 通過單一的修復���,消除多個漏洞�。
◆ 不重復掃描沒有改變的代碼
如果只是修改了幾行代碼�,使用CxSAST獨特的增量掃描功能����,不會重復掃描整個代碼庫����。它只掃描分析上次掃描之后改變的代碼及其依賴文件�����。這加快了結果生成�����,在敏捷環境中尤其有用�����。
◆ 集成到構建過程
CxSAST能非常靈活地集成到現有的SDLC��,使用戶自主選擇安全策略�����,并且自動執行����。CxSAST支持最常見的源代碼庫��、構建服務器�����、bug跟蹤工具�����、IDE和報告系統�����,能夠簡化安全測試并確保盡可能有效����。
◆ 掃描的漏洞包括:
■SQL注入
■跨站腳本
■代碼注入
■緩存溢出
■參數改
■跨站請求偽造
■HTTP拆分
■日志偽造
■拒絕服務
■會話固定
■未處理的異常
■未釋放的資源
■未經驗證的輸入
■危險的文件
■硬編碼的密碼
◆ 支持的語言
◆ 支持的標準
? OWASP Top 10 2013/2017
? SANS 25
? HIPAA
? MITRE CWE
? FISMA
? PCI DSS
? MISRA
? BSIMM
CxIAST
傳統的動態應用安全測試(DAST)是作為一個“安全門”(Security Gate)部署的��,因為長時間的掃描拖延了產品的推出���。CxIAST持續的AppSec測試則消除了這種延時���,因為漏洞是實時檢測的�。這填補了你的應用安全中的一個主要區域���,因為某些漏洞和缺陷只能在應用運行期間才能檢測�����。CxIAST的安裝和使用都很簡單�����,是CxSAST��、CxOSA的補充�����。
CxIAST使用一個可定制的代理��。Checkmarx開放的查詢語言允許你修改現存的安全規則����,甚至編寫自己的規則�,CxIAST識別整個上下文環境以便檢測漏洞�,一旦數據值傳遞到運行中的代碼���,它就可以快速準確地找出漏洞��,最小化誤報��。
◆ 縮短產品上市時間���,且不會影響安全性
◆ 在DevOps和CI/CD工作流中平衡動態應用安全測試
◆ 補充Checkmarx SAST和開源分析
◆ 準確監控應用的行為�,實時檢測漏洞���,包括OWASP Top 10
◆ 檢測的漏洞包括:
? SQL注入
? XSS注入
? 操作系統命令注入
? 路徑遍歷
? XPath注入
? 參數篡改
? 開放重定向
? 跨站請求偽造
CxOSA
開源是免費的����,使用開源縮短產品上市時間��,而且開源代碼通常有很大的社區對它進行測試和改進��。但是開源像其他代碼一樣有著安全漏洞�,所以必須持續地監控和管理對開源的使用以便在開發的早期解決問題�。Checkmarx CxOSA解決方案允許企業管理�、控制和防止開源組件引入的安全和法律風險�����。CxOSA是開源檢測工具WhiteSource在Checkmarx中實現的組件����。
◆ 持續監控開源代碼
◆ 無縫集成到整個CxSAST解決方案
◆ 識別開源漏洞
◆ 簡單定義和實施組織合規策略
◆ 識別安全漏洞時發出警告
◆ 支持的語言:
應用程序安全性測試Checkmarx
