软件介绍

软件详细介绍:

以色列Checkmarx公司的CxEnterprise(Checkmarx CxSuite)静态源代码安全漏洞扫描工具是采用了Checkmarx独特专利的虚拟编译器技术的静态源代码安全扫描测试工具,专门设计为识别、跟踪和修复软件源代码上的技术和逻辑方面的安全缺陷。

其采用独特的安全漏洞模型分析技术和CxQL专利查询技术,快速扫描和分析源代码中的安全漏洞和弱点,是目前唯一的一种以查询技术定位代码安全问题的工具。克服了传统静态分析工具误报率(False Positive)高和漏报(False Negative)的缺陷,扫描结果几乎达到误报为零的效果,不需要像传统的静态分析工具,花费巨大的人力、时间和管理成本来消除扫描结果中的误报和噪音信息,影响产品开发进度。

其分析结果的准确性、全面性和使用的方便性得到全球众多顶级的技术公司和重要行业的认可,都在采用这种新一代的静态分析技术做源代码安全检测和风险评估,比如Salesforce.Com、道琼斯(新闻集团)、雅高、NDS公司、美国陆军、Amdocs等。

Checkmarx CxEnterprise 主要功能模块

  1. CxManager Application Server :接受CxClient扫描和查询请求,规则自定义,集中式提供企业级的用户、角色和团队管理、权限管理 、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理。
  2. CxEngine Scan server执行具体扫描(分布式扫描和并行扫描),接受CxManager的扫描任务,并将扫描的结果存放在数据库,供CxManager查询和管理。
  3. CxClientCxManger的瘦客户端,可以允许多个客户端用户在局域网内按照所赋予的权限和级别执行相应的代码扫描和结果审查及管理。
  4. CxPortal Web ServiceWeb service用于公司局域网或者外部网络采用web browser 或者IDE开发插件使用扫描服务。
  5. Web浏览器、EclipseVisual Studio PluginCxPortal客户端,用于公司局域网或者外部Internet网络用户采用web browser或者IDE开发插件使用扫描服务、管理扫描结果。

Checkmarx CxEnterprise主要功能及特性

n      操作系统独立。代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码。

n     编译器独立、开发环境独立,搭建测试环境简单快速且统一。由于采用了独特的虚拟编译器技术,代码扫描不需要依赖编译器和开发环境,无需为每种开发语言的代码安装编译器和测试环境,只需要通过CxClient、浏览器、开发环境集成插件登录到CxManager Application服务器。

n     工具学习、培训和使用的成本少,最小化影响开发进度。由于编译器、操作系统和开发环境独立,使用者无需去学习每种平台下如何去编译代码,调试代码、如何扫描测试代码,无需去看每种平台下繁琐的使用手则。因为Checkmarx CxEnterrise服务只需要提供源代码即可扫描,并给出精确的扫描结果。

n     低误报CxEnterprise 企业服务在扫描过程中全面分析应用的所有路径和变量。准确地分析结果,验证可能的风险是否真正导致安全问题,自动排除噪音信息,扫描结果几乎就是最终的分析结果,误报率(False Positive)几乎为零。极大的减少了审计分析的人工劳动成本,极大节省了代码审计的时间,为开发团队赢得更多的开发时间。

n  安全漏洞覆盖面广且全面 (低漏报)。数以百计的安全漏洞检查适合任于何组织,支持最新的OWASP、CWE、SANS、PCI、SOX等国际权威组织对软件安全漏洞的定义。漏洞覆盖面广,安全检查全面,其自定义查询语言CxQL可以让用户灵活制定需要的代码规则,极大的丰富组织特定的代码安全和代码质量的需要。

n  安全查询规则清晰且完全公开实现。规则定义清晰,并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险,透明各种语言风险。让用户知道工具已经做了那些工作,没有做那些该工作。而不是给用户一个黑匣子,用户无法了解工具的细节和缺陷,无法在代码审计过程中规避工具的风险(比如漏报和误报),比如利用人工或者其它手段查找工具不能定位的问题。

n  安全规则自定义简单高效。由于公开了所有规则实现的细节和语法,用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则,规则学习,定义简单高效。能快速实现组织软件安全策略。

n  业务逻辑和架构风险调查。Checkmarx CxEnterprise服务可以对所有扫描代码的任意一个代码元素(词汇)做动态的数据影响、控制影响和业务逻辑研究和调查。分析代码逻辑和架构特有的安全风险,并最后定义规则精确查找这些风险。这是目前唯一能动态分析业务逻辑和软件架构的静态技术。

n  攻击路径的可视化,并以3D形式展现。

每一个安全漏洞的攻击模式和路径完全呈现出来,以3D图形的方式显示,便于安全问题调查和分析。

nCheckmarx CxEnterprise目前支持的主流语言有:

      Java、JSP、JavaSript、VBSript、C#、ASP.net、VB.Net、VB6、C/C++、ASP、PHP、Ruby、Perl、PL/SQL、Android、OWASP ESAPI、MISRA、Objective-C (iOS)、(AppExchange platform)、API及第三方语言。

n支持的主流框架(Framework:Struts、Spring、Ibatis、GWT、Hiberante、Enterprise Libraries、Telerik、ComponentArt、Infragistics、FarPoint、Ibatis.NET、Hibernate.Net [*]、MFC。可针对客户特定框架快速定制支持。

n  服务独立,全面的团队扫描支持

作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器,进行代码扫描、安全审计、团队、用户和扫描任务管理。

n  高度自动化扫描任务。自动集成版本管理(SubVersion、TFS)、SMTP邮件服务器和Windows账户管理,实现自动扫描代码更新、自动扫描、自动报警和自动邮件通知等。

n  支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描,提高团队扫描效率。

n  云服务实现:支持跨Internet实现源代码安全扫描云服务

n  支持最佳修复位置建议 ,图形显示最佳修复点。

软件厂商


软件资讯

软件问答

心中疑惑就问问用过此产品的同学吧~ 我要提问

同类型软件推荐

SAP

Adaptive Server Enterprise (ASE)

在内部部署和云端实现基于事务的应用程序的现代化和加速。 这种高性能SQL数据库服务器使用关系管理模型来满足各行业对性能,可靠性和效率的不断增长的需求。

日志审计系统

日志审计系统

随着信息化应用的逐步深入,一方面,信息系统的规模和复杂度越来越大;另一方面,业务对信息平台的依赖性也越来越强;IT管理者迫切需要对系统的稳定性、可靠性和安全性有更全面、更直观、便捷的监控能力,加强网络信息系统安全是当前的迫切需求。网

NEC双机热备软件

NEC双机热备软件

(一)NEC双机热备软件概述 信息化建设的不断推进,各个企事业单位的活动越来越多的依赖于其关键的业务信息系统,这些业务信息系统对整个机构的运营和发展起着至关重要的作用,一旦发生宕机故障或应用停机,将给机构带来巨大的经济损失。
询价
返回顶部