4.1 软件介绍
CxSuite是目前最强有力的下一代静态源代码安全扫描测试方案,专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全缺陷。首创了以查询语言定位代码安全问题,其采用独特的词汇分析技术和CxQL专利查询技术,快速扫描和分析源代码中的安全漏洞和弱点,克服了传统静态分析工具误报率高和漏报的缺陷,扫描结果几乎达到误报为零的效果,不需要像传统的静态分析工具,需要花费巨大的人力、时间和管理成本消除扫描结果中的误报。
Checkmarx Cxsuit支持极其广泛的软件安全漏洞和安全弱点 、操作系统平台、多种编程语言和框架,无缝集成到软件开发生命周期。 Cxsuit的自动代码审计功能允许开发组织以最少的时间和成本去应对安全代码的挑战。
4.2 使用Checkmarx CxSuite
1、Checkmarx CxSuite插件组成
其主要组成如下:
CxManager - 直观的源代码安全扫描结果管理。
CxDeveloper –扫描源代码,定位安全缺陷。
CxViewer - 审查代码扫描结果以便于安全缺陷修复。
CxAudit - 调查或者研究源代码,分析技术和逻辑安全问题,定制代码安全查询规则。
CxConsole- 命令行接口实现团队项目集中扫描和自动化。
2、Findbugs Eclipse插件使用
CxManager为CXDeveloper、CxViewer、和CxAudit提供一致的代码安全扫描、审计和结果管理的框架。它允许跟踪在源代码中发现的安全威胁和评估这些安全威胁对研发项目的严重级别。Cxmanger收集安全信息基于CxDeveloer和CxAudit代码审查的的结果。文本和图形的报告对这些收集的信息 提供更深度的分析 ,它也允许精确地识别在源代码中的安全漏洞以及必要的修复代码缺陷的补救措施。
CxManager
CxAudit按开发人员的工作方式工作
CxAudit是Checkmarx产品套件CxSuite的一部分。该产品的设计旨在帮助安全风险管理人员编写具体的查询程序来加强公司的最佳实践和遵循标准安全规范,实现和制定公司安全策略,然后将其分配给开发团队进行统一的安全扫描。
安全风险管理人员没有时间去悉心照顾像婴儿一样、还不成熟的静态分析工具(大量的误报需要核实)。伴随着现代灵活经典的迭代过程的发展,保持开发的速度并且避免增加不必要的日常活动开销就显得至关重要。软件安全管理人员自始一直背负着使用昂贵的静态分析工具的代价,而这些静态分析误报率都很高并且需要向开发过程中融入大量的咨询工作。如果误报率高的话,工具的可信度就会降低。管理人员需要利用灵活性和可配置性来迅速、准确地发现开发源代码中的技术和业务缺陷。
Checkmarx CxAudit是新一代的.NET和J2EE环境的静态安全分析工具。CxAudit性能优越、具备内置内存代码模式及定制查询语言,是目前市场上最快、最准确、最具扩展性的安全分析工具和报告产品。因为在被报告成缺陷前,从问题呈现到根源的整个代码路径都被验证过,所以,它的误报率非常低。其内置查询语言CxQL允许对查询进行添加、修改和分组,从而满足其过程和管理的需要,也就是说,其结果使得一体化和咨询费用降低。漏洞的图解表现形式加速了补救措施的实施,同时,也降低了补救的成本。集成Visual Studio使得审计、扫描和分析活动都在开发环境下进行,同时完整的独立的用户界面和CLI(命令行)能力也能满足安全审计人员和集成研发环境的要求。
CxDeveloper 按开发人员的工作方式工作
CxConsole-开发团队自动化代码安全扫描
CxCosole是Checkmarx源代码扫描分析引擎的命令行接口,该接口提供配置多个开发团队,多个开发人员自动源代码集中安全扫描和email通知功能。