CheckmarxCxEnterprise

企業(yè)級源代碼安全漏洞掃描分析和管理工具研討會會議主題Checkmarx中國公司介紹CheckmarxCxEnterprise產(chǎn)品介紹和演示產(chǎn)品概述組件及架構(gòu)掃描原理產(chǎn)品演示產(chǎn)品功能及特性軟件安全出產(chǎn)品和咨詢服務(wù)Checkmarx中國分公司介紹主要業(yè)務(wù)范圍：Checkmarx中國分公司-為中國客戶提供專業(yè)的軟件安全方面的產(chǎn)品和咨詢服務(wù),幫助客戶以盡量的低的開發(fā)成本高效地開發(fā)可靠的,安全的軟件。服務(wù)：軟件安全風(fēng)險評估軟件安全風(fēng)險消軟件安全培訓(xùn)和教育軟件安全生命開發(fā)周期SDL咨詢產(chǎn)品：CheckmarxCxEnterprise：企業(yè)級源代碼安全漏洞掃描和分析管理工具TeamMentor:軟件開發(fā)團隊安全開發(fā)指導(dǎo)系統(tǒng)。Teamprofessor

eLearning:在線應(yīng)用安全電子培訓(xùn)課程。軟件安全生命開發(fā)周期SDL咨詢需求收集設(shè)計開發(fā)測試部署維護(hù)架構(gòu)和設(shè)計評估代碼安全審計安全評估部署安全審計威脅建模設(shè)計安全的應(yīng)用構(gòu)建安全的應(yīng)用安全網(wǎng)絡(luò)主機和應(yīng)用Checkmarx在中國的部分客戶CheckmarxCxEnterprise源代碼安全掃描和管理工具概述CheckmarxCxEnterprise靜態(tài)源代碼安全漏洞掃描和管理工具是以色列Checkmarx公司在分析全球靜態(tài)分析技術(shù)的優(yōu)缺點后,結(jié)合全球安全組織和安全專家多年的軟件安全咨詢的經(jīng)驗而研發(fā)出的新一代源代碼安全掃描方案,旨在從根源上識別、跟蹤和修復(fù)源代碼的技術(shù)和邏輯上的安全缺陷。該方案獨創(chuàng)以查詢技術(shù)定位代碼安全問題,克服了傳統(tǒng)靜態(tài)分析工具誤報率（FalsePositive）高和漏報（FalseNegative）的缺陷.主要提供的功能:源代碼安全漏洞的掃描、結(jié)果分析和管理源代碼技術(shù)和邏輯缺陷調(diào)查、分析及規(guī)則自定義。掃描團隊和用戶權(quán)限管理掃描自動化及任務(wù)調(diào)度管理私有/公有虛擬云服務(wù)版本CheckmarxCxSuiteEnterpriseEdition(C/S)（企業(yè)級客戶）CheckamrxCxSuiteEnterprisePortalBase(B/S)（云服務(wù)）

15.04.2010

CheckmarxNamed"CoolVendor"byLeadingAnalystFirm-GartnerCheckmarxCxsuite其無與倫比的準(zhǔn)確性和方便的企業(yè)部署和實施的特性贏得了全球眾多客戶的青睞。比如Salesforce.Com、道瓊斯（新聞集團）、雅高、NDS公司、美國陸軍、Amdocs等都在采用這種新一代的靜態(tài)分析技術(shù)做源代碼安全檢測和風(fēng)險評估。至今，Checkmarx的客戶量數(shù)目龐大，其中包括涉及電信、金融銀行、保險、汽車、媒體娛樂、軟件、服務(wù)和軍事等行業(yè)的財富1000的企業(yè)。2010年4月15日Checkmark被全球領(lǐng)先的行業(yè)分析公司Gartner評為“2010年度最酷應(yīng)用安全供應(yīng)商”“Checkmarxisthefirstcodeanalysiscompanythatcaninspectandsummarizeapplicationsecurityriskquickly,non-intrusivelyandwithtremendousaccuracy。”摘自Gartner“CoolVendorsinApplicationSecurity,2010”報告。CheckmarxCxEnterprise的基本架構(gòu)CheckmarxCxEnterprise產(chǎn)品的基本組件CxScanEngineCxScanEngine安裝在指定的服務(wù)器上，引擎服務(wù)負(fù)責(zé)掃描和查詢的任務(wù)。CxManagerCxManager安裝在指定的服務(wù)器上，負(fù)責(zé)管理用戶、項目、掃描任務(wù)等。CxManager與CxScanEngine通信。CxClient輕量級的客戶端組件，安裝在客戶端的機子上。CxClient通過WCF與CxManager通信。CheckmarxCxEnterprise產(chǎn)品的基本組件4.CxPortalWebService：Webservices用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用webbrowser或者IDE開發(fā)插件使用掃描服務(wù)。

5.Web瀏覽器、Eclipse和VisualStudioPluginCxPortal客戶端，用于公司局域網(wǎng)或者外部Internet網(wǎng)絡(luò)用戶采用webbrowser或者IDE開發(fā)插件使用掃描服務(wù),管理掃描結(jié)果。CheckmarxCxenterprise靜態(tài)源代碼掃描原理ExhaustiveFlowScannerCode&FlowDatabase查詢檢測引擎已知查詢專有查詢隨機查詢順序棧漏洞圖虛擬編譯器詳盡流掃描儀常見的語言形式Java.NetApexC,C++…查詢

CheckmarxCxSuite產(chǎn)品演示Checkmarx

CxEnterprise（C/S）演示角色介紹、創(chuàng)建和權(quán)限管理客戶端遠(yuǎn)程登錄到服務(wù)器掃描項目和掃描任務(wù)的建立報表生成。查詢規(guī)則的自定義。Checkmarx

CxEnterprise

Portal

Base（B/S）演示Checkmarx

Eclipse和Visual

Studio

pluginCheckmarxCxSuite主要功能及特性

操作系統(tǒng)獨立CxEnterpris企業(yè)服務(wù)下的代碼掃描不依賴于特定操作系統(tǒng)，只需在在企業(yè)范圍內(nèi)部署一臺掃描服務(wù)器，就可以掃描其它操作系統(tǒng)開發(fā)環(huán)境下的代碼，包括但不限于如下操作系統(tǒng)Windows、Linux、AIX，HP-Unix,MacOS,Solaris。不需要購買額外的硬件服務(wù)器和操作系統(tǒng)-

Linux、AIX，HP-Unix,MacOS,Solaris編譯器獨立、開發(fā)環(huán)境獨立，搭建測試環(huán)境簡單快速且統(tǒng)一由于采用了獨特的虛擬編譯器技術(shù)，代碼掃描不需要依賴編譯器和開發(fā)環(huán)境，無需為每種開發(fā)語言的代碼安裝編譯器和測試環(huán)境，只需要通過CxClient登錄到CxManagerApplication服務(wù)器，提供本地代碼掃描代碼的目錄、遠(yuǎn)程代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，掃描代碼無需通過編譯過程。搭建測試環(huán)境快速簡單，無需像其它的靜態(tài)分析工具，必須在相應(yīng)的操作系統(tǒng)上安裝相應(yīng)的工具軟件包，安裝眾多開發(fā)工具和代碼依賴的第三方庫及軟件包、調(diào)試代碼通過編譯，方可進(jìn)行測試。CxSuiteCxEnterprise安裝一次，即可掃描Java代碼、C/C++代碼、.NET代碼JSP、JavaSript、VBSript、.、C#、ASP.net、VB.Net、VB6、、ASP、ApexVisualForce、PHP,Ruby

…等各種語言代碼，并且不管這些代碼是在windows平臺、Linux平臺或者其它平臺的

無需購買各種語言的開發(fā)環(huán)境和編譯器,大大節(jié)約試驗室掃描代碼環(huán)境的搭配工具學(xué)習(xí)、培訓(xùn)和使用的成本少，最小化影響開發(fā)進(jìn)度:由于編譯器、操作系統(tǒng)和開發(fā)環(huán)境獨立，使用者無需去學(xué)習(xí)每種平臺下如何去編譯代碼，調(diào)試代碼、如何掃描測試代碼，無需去看每種平臺下繁瑣的使用手則。因為CheckmarxCxEnterrise服務(wù)只需要提供源代碼即可掃描，并給出精確的掃描結(jié)果CheckamrxCxSuite主要功能及特性(續(xù))低誤報:CxSuite企業(yè)服務(wù)在掃描過程中全面分析應(yīng)用的所有路徑和變量。準(zhǔn)確的分析結(jié)果，驗證可能的風(fēng)險是否真正導(dǎo)致安全問題，自動排除噪音信息，掃描結(jié)果幾乎就是最終的分析結(jié)果，其誤報率（FalsePositive）幾乎為零。極大的減少了審計分析的人工勞動成本，極大的節(jié)省了代碼審計的時間，為開發(fā)團隊贏得更多的開發(fā)時間。安全漏洞覆蓋面廣且全面(低漏報)：數(shù)以百計的安全漏洞檢查適合任于何組織，支持最新的OWASP、CWE、SANS、PCI、SOX等國際權(quán)威組織對軟件安全漏洞的定義。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語言CxQL可以讓用戶靈活制定需要的代碼規(guī)則，極大的豐富組織特定的代碼安全和代碼質(zhì)量的需要。安全查詢規(guī)則清晰且完全公開實現(xiàn)：規(guī)則定義清晰，并完全公開所有規(guī)則的定義和實現(xiàn)讓用戶清楚知道工具如何去定義風(fēng)險、如何去查找風(fēng)險，透明各種語言風(fēng)險。讓用戶知道工具已經(jīng)做了那些工作，沒有做那些該工作。而不是給用戶一個黑匣子，用戶無法了解工具的細(xì)節(jié)和缺陷，無法在代碼審計過程中規(guī)避工具的風(fēng)險（比如漏報和誤報），比如利用人工或者其它手段查找工具不能定位的問題?？梢砸浦苍摴ぞ邘斓闹R到其他工具里去,完善其他工具的能力安全規(guī)則自定義簡單高效由于公開了所有規(guī)則實現(xiàn)的細(xì)節(jié)和語法，用戶可以快速修改規(guī)則或者參考已有的規(guī)則語句自定義自己需要規(guī)則，規(guī)則學(xué)習(xí)，定義簡單高效。能快速實現(xiàn)組織軟件安全策略?？梢岳鄯e試驗室的安全研究成果,把實驗室的成果轉(zhuǎn)換成查詢規(guī)則,然后用自動化的方式去驗證試驗室的安全知識對實際系統(tǒng)的應(yīng)用情況.

CheckamrxCxEnterprise主要功能及特性(續(xù))業(yè)務(wù)邏輯和架構(gòu)風(fēng)險調(diào)查:CheckmarxCxSuite服務(wù)可以對所有掃描代碼的任意一個代碼元素（詞匯）做動態(tài)的數(shù)據(jù)影響、控制影響和業(yè)務(wù)邏輯研究和調(diào)查。分析代碼邏輯和架構(gòu)特有的安全風(fēng)險，并最后定義規(guī)則精確查找這些風(fēng)險。這是目前唯一能動態(tài)分析業(yè)務(wù)邏輯和軟件架構(gòu)的靜態(tài)技術(shù)。服務(wù)獨立，全面的團隊掃描支持作為服務(wù)器運行。開發(fā)人員、管理人員和審計人員都可以憑各自的身份憑證從任何一處登錄服務(wù)器，進(jìn)行代碼掃描、安全審計、團隊、用戶和掃描任務(wù)管理。高度自動化掃描任務(wù)自動集成版本管理（SubVersion、CVS、ClearCase、TFS）、SMTP郵件服務(wù)器和Windows賬戶管理，實現(xiàn)自動掃描代碼更新、自動掃描、自動報警和自動郵件通知…等CheckamrxCxEnterprise主要功能及特性(續(xù))CheckmarxCxSuite目前支持主流語言

Java、JSP、JavaSript、VBSript、.NET、C#、ASP.net、VB.Net、VB6、C/C++、ASP、Apex、VisualForce、PHP,Ruby，APIto3rdpartylanguages支持的主流框架（Framework）Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、Telerik、ComponentArt、Infragistics、FarPoint，Ibatis.NET、Hibernate.Net[*]、MFC，并可針對客戶特定框架快速定制支持。支持多任務(wù)排隊掃描、并發(fā)掃描、循環(huán)掃描、按時間調(diào)度掃描。云服務(wù)實現(xiàn)：支持跨Internet實現(xiàn)源代碼安全掃描“云服務(wù)”軟件安全和產(chǎn)品培訓(xùn)服務(wù)產(chǎn)品源代碼安全掃描及管理工具（CheckmarxCxSuiteCxEnterpriseandPortalBase)Web在線的軟件安全開發(fā)知識庫指導(dǎo)系統(tǒng)——TeamMentorWeb-eLearning在線安全培訓(xùn)模塊-Teamprofessor服務(wù)軟件安全風(fēng)險評估和咨詢(包括滲透測試和代碼安全測試和咨詢）SDL培訓(xùn)和咨詢定制服務(wù)安全開發(fā)指南定制：Java/JavaEE安全開發(fā)編碼指南C/C++安全開發(fā)編碼指南.NET安全開發(fā)編碼指南其它特定的文檔。源代碼安全代碼掃描需要關(guān)注的核心問題源代碼風(fēng)險在哪兒？只有知道了有普遍存在有哪些風(fēng)險，你才能去找到風(fēng)險，也就是說，你有目標(biāo)嗎？目標(biāo)明確嗎？怎樣去導(dǎo)出你的目標(biāo)？輸入的風(fēng)險/輸出的風(fēng)險/數(shù)據(jù)庫的風(fēng)險/Web頁面的風(fēng)險/框架的風(fēng)險/三方中間件的風(fēng)險…….。工具能否清晰和透明告訴你這些嗎？Checkmarx源代碼掃描工具能清晰告訴你他是怎么找風(fēng)險的，已經(jīng)考慮了那些風(fēng)險?。?！怎樣去定位代碼風(fēng)險？如何找風(fēng)險？工具能清晰透明告訴你嗎？，使用者能否去做調(diào)整嗎？Checkmarx源代碼掃描工具能清晰告訴工具如何找的，它是如何考慮風(fēng)險以及如何實現(xiàn)的，用戶如何去調(diào)整滿足特定需要的?。。〗Y(jié)果是否精確工具對所有風(fēng)險的可疑點是否做驗證，最終的結(jié)果是精確的，還是粗糙的，人工去分辨結(jié)果的工作量大小。Checkmarx源代碼掃描工具掃描時驗證結(jié)果，輸出精確的結(jié)果。最小化人工審計勞動工具是否提供方便透明的擴展手段以滿足客戶特定環(huán)境和開發(fā)組件的需要，并輕松實現(xiàn)企業(yè)代碼安全的策略？需求在變化，開發(fā)的框架，技術(shù)手段都在