CheckmarxCxEnterprise

企業級源代碼安全漏洞掃描分析和管理工具研討會會議主題Checkmarx中國公司介紹CheckmarxCxEnterprise產品介紹和演示產品概述組件及架構掃描原理產品演示產品功能及特性軟件安全出產品和咨詢服務Checkmarx中國分公司介紹主要業務范圍：Checkmarx中國分公司-為中國客戶提供專業的軟件安全方面的產品和咨詢服務,幫助客戶以盡量的低的開發成本高效地開發可靠的,安全的軟件。服務：軟件安全風險評估軟件安全風險消軟件安全培訓和教育軟件安全生命開發周期SDL咨詢產品：CheckmarxCxEnterprise：企業級源代碼安全漏洞掃描和分析管理工具TeamMentor:軟件開發團隊安全開發指導系統。Teamprofessor

eLearning:在線應用安全電子培訓課程。軟件安全生命開發周期SDL咨詢需求收集設計開發測試部署維護架構和設計評估代碼安全審計安全評估部署安全審計威脅建模設計安全的應用構建安全的應用安全網絡主機和應用Checkmarx在中國的部分客戶CheckmarxCxEnterprise源代碼安全掃描和管理工具概述CheckmarxCxEnterprise靜態源代碼安全漏洞掃描和管理工具是以色列Checkmarx公司在分析全球靜態分析技術的優缺點后,結合全球安全組織和安全專家多年的軟件安全咨詢的經驗而研發出的新一代源代碼安全掃描方案,旨在從根源上識別、跟蹤和修復源代碼的技術和邏輯上的安全缺陷。該方案獨創以查詢技術定位代碼安全問題,克服了傳統靜態分析工具誤報率（FalsePositive）高和漏報（FalseNegative）的缺陷.主要提供的功能:源代碼安全漏洞的掃描、結果分析和管理源代碼技術和邏輯缺陷調查、分析及規則自定義。掃描團隊和用戶權限管理掃描自動化及任務調度管理私有/公有虛擬云服務版本CheckmarxCxSuiteEnterpriseEdition(C/S)（企業級客戶）CheckamrxCxSuiteEnterprisePortalBase(B/S)（云服務）

15.04.2010

CheckmarxNamed"CoolVendor"byLeadingAnalystFirm-GartnerCheckmarxCxsuite其無與倫比的準確性和方便的企業部署和實施的特性贏得了全球眾多客戶的青睞。比如Salesforce.Com、道瓊斯（新聞集團）、雅高、NDS公司、美國陸軍、Amdocs等都在采用這種新一代的靜態分析技術做源代碼安全檢測和風險評估。至今，Checkmarx的客戶量數目龐大，其中包括涉及電信、金融銀行、保險、汽車、媒體娛樂、軟件、服務和軍事等行業的財富1000的企業。2010年4月15日Checkmark被全球領先的行業分析公司Gartner評為“2010年度最酷應用安全供應商”“Checkmarxisthefirstcodeanalysiscompanythatcaninspectandsummarizeapplicationsecurityriskquickly,non-intrusivelyandwithtremendousaccuracy。”摘自Gartner“CoolVendorsinApplicationSecurity,2010”報告。CheckmarxCxEnterprise的基本架構CheckmarxCxEnterprise產品的基本組件CxScanEngineCxScanEngine安裝在指定的服務器上，引擎服務負責掃描和查詢的任務。CxManagerCxManager安裝在指定的服務器上，負責管理用戶、項目、掃描任務等。CxManager與CxScanEngine通信。CxClient輕量級的客戶端組件，安裝在客戶端的機子上。CxClient通過WCF與CxManager通信。CheckmarxCxEnterprise產品的基本組件4.CxPortalWebService：Webservices用于公司局域網或者外部網絡采用webbrowser或者IDE開發插件使用掃描服務。

5.Web瀏覽器、Eclipse和VisualStudioPluginCxPortal客戶端，用于公司局域網或者外部Internet網絡用戶采用webbrowser或者IDE開發插件使用掃描服務,管理掃描結果。CheckmarxCxenterprise靜態源代碼掃描原理ExhaustiveFlowScannerCode&FlowDatabase查詢檢測引擎已知查詢專有查詢隨機查詢順序棧漏洞圖虛擬編譯器詳盡流掃描儀常見的語言形式Java.NetApexC,C++…查詢

CheckmarxCxSuite產品演示Checkmarx

CxEnterprise（C/S）演示角色介紹、創建和權限管理客戶端遠程登錄到服務器掃描項目和掃描任務的建立報表生成。查詢規則的自定義。Checkmarx

CxEnterprise

Portal

Base（B/S）演示Checkmarx

Eclipse和Visual

Studio

pluginCheckmarxCxSuite主要功能及特性

操作系統獨立CxEnterpris企業服務下的代碼掃描不依賴于特定操作系統，只需在在企業范圍內部署一臺掃描服務器，就可以掃描其它操作系統開發環境下的代碼，包括但不限于如下操作系統Windows、Linux、AIX，HP-Unix,MacOS,Solaris。不需要購買額外的硬件服務器和操作系統-

Linux、AIX，HP-Unix,MacOS,Solaris編譯器獨立、開發環境獨立，搭建測試環境簡單快速且統一由于采用了獨特的虛擬編譯器技術，代碼掃描不需要依賴編譯器和開發環境，無需為每種開發語言的代碼安裝編譯器和測試環境，只需要通過CxClient登錄到CxManagerApplication服務器，提供本地代碼掃描代碼的目錄、遠程代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，掃描代碼無需通過編譯過程。搭建測試環境快速簡單，無需像其它的靜態分析工具，必須在相應的操作系統上安裝相應的工具軟件包，安裝眾多開發工具和代碼依賴的第三方庫及軟件包、調試代碼通過編譯，方可進行測試。CxSuiteCxEnterprise安裝一次，即可掃描Java代碼、C/C++代碼、.NET代碼JSP、JavaSript、VBSript、.、C#、ASP.net、VB.Net、VB6、、ASP、ApexVisualForce、PHP,Ruby

…等各種語言代碼，并且不管這些代碼是在windows平臺、Linux平臺或者其它平臺的

無需購買各種語言的開發環境和編譯器,大大節約試驗室掃描代碼環境的搭配工具學習、培訓和使用的成本少，最小化影響開發進度:由于編譯器、操作系統和開發環境獨立，使用者無需去學習每種平臺下如何去編譯代碼，調試代碼、如何掃描測試代碼，無需去看每種平臺下繁瑣的使用手則。因為CheckmarxCxEnterrise服務只需要提供源代碼即可掃描，并給出精確的掃描結果CheckamrxCxSuite主要功能及特性(續)低誤報:CxSuite企業服務在掃描過程中全面分析應用的所有路徑和變量。準確的分析結果，驗證可能的風險是否真正導致安全問題，自動排除噪音信息，掃描結果幾乎就是最終的分析結果，其誤報率（FalsePositive）幾乎為零。極大的減少了審計分析的人工勞動成本，極大的節省了代碼審計的時間，為開發團隊贏得更多的開發時間。安全漏洞覆蓋面廣且全面(低漏報)：數以百計的安全漏洞檢查適合任于何組織，支持最新的OWASP、CWE、SANS、PCI、SOX等國際權威組織對軟件安全漏洞的定義。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語言CxQL可以讓用戶靈活制定需要的代碼規則，極大的豐富組織特定的代碼安全和代碼質量的需要。安全查詢規則清晰且完全公開實現：規則定義清晰，并完全公開所有規則的定義和實現讓用戶清楚知道工具如何去定義風險、如何去查找風險，透明各種語言風險。讓用戶知道工具已經做了那些工作，沒有做那些該工作。而不是給用戶一個黑匣子，用戶無法了解工具的細節和缺陷，無法在代碼審計過程中規避工具的風險（比如漏報和誤報），比如利用人工或者其它手段查找工具不能定位的問題。可以移植該工具庫的知識到其他工具里去,完善其他工具的能力安全規則自定義簡單高效由于公開了所有規則實現的細節和語法，用戶可以快速修改規則或者參考已有的規則語句自定義自己需要規則，規則學習，定義簡單高效。能快速實現組織軟件安全策略。可以累積試驗室的安全研究成果,把實驗室的成果轉換成查詢規則,然后用自動化的方式去驗證試驗室的安全知識對實際系統的應用情況.

CheckamrxCxEnterprise主要功能及特性(續)業務邏輯和架構風險調查:CheckmarxCxSuite服務可以對所有掃描代碼的任意一個代碼元素（詞匯）做動態的數據影響、控制影響和業務邏輯研究和調查。分析代碼邏輯和架構特有的安全風險，并最后定義規則精確查找這些風險。這是目前唯一能動態分析業務邏輯和軟件架構的靜態技術。服務獨立，全面的團隊掃描支持作為服務器運行。開發人員、管理人員和審計人員都可以憑各自的身份憑證從任何一處登錄服務器，進行代碼掃描、安全審計、團隊、用戶和掃描任務管理。高度自動化掃描任務自動集成版本管理（SubVersion、CVS、ClearCase、TFS）、SMTP郵件服務器和Windows賬戶管理，實現自動掃描代碼更新、自動掃描、自動報警和自動郵件通知…等CheckamrxCxEnterprise主要功能及特性(續)CheckmarxCxSuite目前支持主流語言

Java、JSP、JavaSript、VBSript、.NET、C#、ASP.net、VB.Net、VB6、C/C++、ASP、Apex、VisualForce、PHP,Ruby，APIto3rdpartylanguages支持的主流框架（Framework）Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、Telerik、ComponentArt、Infragistics、FarPoint，Ibatis.NET、Hibernate.Net[*]、MFC，并可針對客戶特定框架快速定制支持。支持多任務排隊掃描、并發掃描、循環掃描、按時間調度掃描。云服務實現：支持跨Internet實現源代碼安全掃描“云服務”軟件安全和產品培訓服務產品源代碼安全掃描及管理工具（CheckmarxCxSuiteCxEnterpriseandPortalBase)Web在線的軟件安全開發知識庫指導系統——TeamMentorWeb-eLearning在線安全培訓模塊-Teamprofessor服務軟件安全風險評估和咨詢(包括滲透測試和代碼安全測試和咨詢）SDL培訓和咨詢定制服務安全開發指南定制：Java/JavaEE安全開發編碼指南C/C++安全開發編碼指南.NET安全開發編碼指南其它特定的文檔。源代碼安全代碼掃描需要關注的核心問題源代碼風險在哪兒？只有知道了有普遍存在有哪些風險，你才能去找到風險，也就是說，你有目標嗎？目標明確嗎？怎樣去導出你的目標？輸入的風險/輸出的風險/數據庫的風險/Web頁面的風險/框架的風險/三方中間件的風險…….。工具能否清晰和透明告訴你這些嗎？Checkmarx源代碼掃描工具能清晰告訴你他是怎么找風險的，已經考慮了那些風險！！！怎樣去定位代碼風險？如何找風險？工具能清晰透明告訴你嗎？，使用者能否去做調整嗎？Checkmarx源代碼掃描工具能清晰告訴工具如何找的，它是如何考慮風險以及如何實現的，用戶如何去調整滿足特定需要的！！！結果是否精確工具對所有風險的可疑點是否做驗證，最終的結果是精確的，還是粗糙的，人工去分辨結果的工作量大小。Checkmarx源代碼掃描工具掃描時驗證結果，輸出精確的結果。最小化人工審計勞動工具是否提供方便透明的擴展手段以滿足客戶特定環境和開發組件的需要，并輕松實現企業代碼安全的策略？需求在變化，開發的框架，技術手段都在