程式碼安全審查CxEnterprise

Checkmarx公司的 CxSuite CxEnterprise(簡稱CxEnterprise)靜態原始碼安全漏洞掃描和管理方案是業界最全面的、綜合的原始碼安全掃描和管理方案，該方案提供使用者、角色和團隊管理、許可權管理、掃描結果管理、掃描排程和自動化管理、掃描資源管理、查詢規則管理、掃描策略管理、更新管理、報表管理等多種企業環境下實施原始碼安全掃描和管理功能。最大化方便和節約了企業原始碼安全開發、掃描、審計和風險管理的成本和開銷。其無與倫比的準確性和方便的企業部署和實施的特性贏得了全球眾多客戶的青睞。比如Salesforce.Com、道瓊斯（新聞集團）、雅高、NDS公司、美國陸軍、Amdocs等都在採用這種新一代的靜態分析技術做原始碼安全檢測和風險評估。至今，Checkmarx的客戶量數目龐大，其中包括涉及電信、金融銀行、保險、汽車、媒體娛樂、軟體、服務和軍事等行業的財富1000的企業。2010年4月15日Checkmark被全球領先的行業分析公司Gartner評為“2010年度最酷應用安全供應商”

“Checkmarx is the first code analysis company that can inspect and summarize application security risk quickly, non-intrusively and with tremendous accuracy 。”

--- 摘自Gartner “ Cool Vendors in Application Security, 2010”報告。

二、Checkmarx CxEnterprise 主要功能元件

1. CxManager Application Server ： 接受CxClient掃描和查詢請求，規則自定義，集中式提供企業級的使用者、角色和團隊管理、許可權管理、掃描結果管理、掃描排程和自動化管理、掃描資源管理、查詢規則管理、掃描策略管理、更新管理、報表管理。

2． CxEngine Scan server: 執行具體掃描（分散式掃描和並行掃描），接受CxManager的掃描任務，並將掃描的結果存放在資料庫，供CxManager查詢和管理。

3. Database：

存放掃描規則、系統配置、掃描使用者，掃描結果，掃描任務... 等所有預先配置的資訊和結果資訊

4． CxClient : CxManger的瘦客戶端，可以允許多個客戶端按照所賦予的許可權和級別執行相應的程式碼掃描和結果審查及管理。客戶可以通過CxClent元件、Internet、IDE（Eclipse/VS2005/Vs2008）等多種方式訪問CxManager Application Server

5.CxPortal ：

Web services用於公司區域網或者外部網路採用web browser 或者IDE開發外掛使用掃描服務。

6. Web瀏覽器、Eclipse和Visual Studio Plugin

CxPortal客戶端，用於公司區域網或者外部網路使用者採用web browser 或者IDE開發外掛使用掃描服務和管理掃描結果。

三、CxSuite Enterprise（CxEnterprise）主要功能及特性

n 作業系統獨立。

CxEnterpris企業服務下的程式碼掃描不依賴於特定作業系統，只需在在企業範圍內部署一臺掃描伺服器，就可以掃描其它作業系統開發環境下的程式碼，包括但不限於如下作業系統Windows、 Linux 、AIX，HP-Unix, Mac OS, Solaris

n 編譯器獨立、開發環境獨立，搭建測試環境簡單快速且統一。

由於CxSuite CxEnterprise採用了獨特的虛擬編譯器技術，程式碼掃描不需要依賴編譯器和開發環境，無需為每種開發語言的程式碼安裝編譯器和測試環境，只需要通過CxClient登入到CxManager Application伺服器，提供原生程式碼掃描程式碼的目錄、遠端程式碼目錄、和版本管理程式碼目錄（Subversion、CVS，ClearCase即可，掃描程式碼無需通過編譯過程。搭建測試環境快速簡單，無需像其它的靜態分析工具，必須在相應的作業系統上安裝相應的工具軟體包，安裝眾多開發工具和程式碼依賴的第三方庫及軟體包、除錯程式碼通過編譯，方可進行測試。CxSuite CxEnterprise安裝一次，即可掃描Java程式碼、C/C++程式碼、.NET程式碼JSP、JavaSript 、VBSript、 .、C# 、 ASP.net 、VB.Net、 VB6、 、ASP 、Apex Visual Force… 等各種語言程式碼，並且不管這些程式碼是在windows平臺、Linux平臺或者其它平臺的。

n 工具學習、培訓和使用的成本少，最小化影響開發進度。

由於編譯器、作業系統和開發環境獨立，使用者無需去學習每種平臺下如何去編譯程式碼，除錯程式碼、如何掃描測試程式碼，無需去看每種平臺下繁瑣的使用手則。因為Checkmarx CxEnterrise服務只需要提供原始碼即可掃描，並給出精確的掃描結果。

n 低誤報

CxEnterprise 企業服務在掃描過程中全面分析應用的所有路徑和變數。準確的分析結果，驗證可能的風險是否真正導致安全問題，自動排除噪音資訊，掃描結果幾乎就是最終的分析結果，其誤報率（False Positive）幾乎為零。極大的減少了審計分析的人工勞動成本，極大的節省了程式碼審計的時間，為開發團隊贏得更多的開發時間。

n 安全漏洞覆蓋面廣且全面 (低漏報）

數以百計的安全漏洞檢查適合任於何組織，支援最新的OWASP 、CWE、SANS、PCI、SOX等國際權威組織對軟體安全漏洞的定義。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語言CxQL可以讓使用者靈活制定需要的程式碼規則，極大的豐富組織特定的程式碼安全和程式碼質量的需要。

n 安全查詢規則清晰且完全公開實現。

規則定義清晰，並完全公開所有規則的定義和實現讓使用者清楚知道工具如何去定義風險、如何去查詢風險，透明各種語言風險。讓使用者知道工具已經做了那些工作，沒有做那些該工作。而不是給使用者一個黑匣子，使用者無法瞭解工具的細節和缺陷，無法在程式碼審計過程中規避工具的風險（比如漏報和誤報），比如利用人工或者其它手段查詢工具不能定位的問題。。

n 掃描效能

10萬行程式碼掃描時間在10~30分鐘不等，視程式碼複雜度和硬體配置而不同，。

n 安全規則自定義簡單高效

由於公開了所有規則實現的細節和語法，使用者可以快速修改規則或者參考已有的規則語句自定義自己需要規則，規則學習，定義簡單高效。能快速實現組織軟體安全策略。

n 業務邏輯和架構風險調查:

Checkmarx CxEnterprise服務可以對所有掃描程式碼的任意一個程式碼元素（詞彙）做動態的資料影響、控制影響和業務邏輯研究和調查。分析程式碼邏輯和架構特有的安全風險，並最後定義規則精確查詢這些風險。這是目前唯一能動態分析業務邏輯和軟體架構的靜態技術。

n 攻擊路徑的視覺化，並以3D形式展現。

每一個安全漏洞的攻擊模式和路徑完全呈現出來，以3D圖形的方式顯示，便於安全問題調查和分析。

n 程式碼實踐的加強

內建軟體程式碼質量問題檢測，同時也提供自定義規則去驗證程式設計策略和最佳實踐。

n Checkmarx CxEnterprise目前支援主流語言

Java、JSP、JavaSript、 VBSript、 .NET 、C# 、 ASP.net 、VB.Net、 VB6、 C/C++ 、ASP 、Apex 、VisualForce、 PHP和SQL ，API to 3rd party languages

n 支援的主流框架（Framework）

Struts 、Spring、Ibatis、GWT、Hiberante 、Enterprise Libraries、Telerik 、ComponentArt 、Infragistics、FarPoint ，Ibatis.NET、 Hibernate.Net [*] 、MFC，並可針對客戶特定框架快速定製支援。

n 服務獨立，全面的團隊掃描支援

作為伺服器執行。開發人員、管理人員和審計人員都可以憑各自的身份憑證從任何一處登入伺服器，進行程式碼掃描、安全審計、團隊、使用者和掃描任務管理。

n 高度自動化掃描任務

自動整合版本管理（SubVersion、CVS、ClearCase、TFS）、SMTP郵件伺服器和Windows賬戶管理，實現自動掃描程式碼更新、自動掃描、自動報警和自動郵件通知…等

n 支援多工排隊掃描、併發掃描、迴圈掃描、按時間排程掃描。

n 雲服務實現：支援跨Internet實現原始碼安全掃描“雲服務”。

 

轉：Checkmarx CxEnterprise 伺服器安裝手冊 http://www.wxphp.com/wxd_921s52c0z72r4yj9c22s_5.html

  Checkmarx CxEnterprise 使用者使用手冊  https://wenku.baidu.com/view/5bedd147195f312b3069a587.html