Checkmarx CxEnterprise代碼審查

Checkmarx公司的 CxSuite CxEnterprise(簡稱CxEnterprise)靜态源代碼安全漏洞掃描和管理方案是業界最全面的、綜合的源代碼安全掃描和管理方案，該方案提供使用者、角色和團隊管理、權限管理、掃描結果管理、掃描排程和自動化管理、掃描資源管理、查詢規則管理、掃描政策管理、更新管理、報表管理等多種企業環境下實施源代碼安全掃描和管理功能。最大化友善和節約了企業源代碼安全開發、掃描、審計和風險管理的成本和開銷。其無與倫比的準确性和友善的企業部署和實施的特性赢得了全球衆多客戶的青睐。比如Salesforce.Com、道瓊斯（新聞集團）、雅高、NDS公司、美國陸軍、Amdocs等都在采用這種新一代的靜态分析技術做源代碼安全檢測和風險評估。至今，Checkmarx的客戶量數目龐大，其中包括涉及電信、金融銀行、保險、汽車、媒體娛樂、軟體、服務和軍事等行業的财富1000的企業。2010年4月15日Checkmark被全球領先的行業分析公司Gartner評為“2010年度最酷應用安全供應商”

“Checkmarx is the first code analysis company that can inspect and summarize application security risk quickly, non-intrusively and with tremendous accuracy 。”

--- 摘自Gartner “ Cool Vendors in Application Security, 2010”報告。

二、Checkmarx CxEnterprise 主要功能元件

1. CxManager Application Server ： 接受CxClient掃描和查詢請求，規則自定義，集中式提供企業級的使用者、角色和團隊管理、權限管理、掃描結果管理、掃描排程和自動化管理、掃描資源管理、查詢規則管理、掃描政策管理、更新管理、報表管理。

2． CxEngine Scan server: 執行具體掃描（分布式掃描和并行掃描），接受CxManager的掃描任務，并将掃描的結果存放在資料庫，供CxManager查詢和管理。

3. Database：

存放掃描規則、系統配置、掃描使用者，掃描結果，掃描任務... 等所有預先配置的資訊和結果資訊

4． CxClient : CxManger的瘦用戶端，可以允許多個用戶端按照所賦予的權限和級别執行相應的代碼掃描和結果審查及管理。客戶可以通過CxClent元件、Internet、IDE（Eclipse/VS2005/Vs2008）等多種方式通路CxManager Application Server

5.CxPortal ：

Web services用于公司區域網路或者外部網絡采用web browser 或者IDE開發插件使用掃描服務。

6. Web浏覽器、Eclipse和Visual Studio Plugin

CxPortal用戶端，用于公司區域網路或者外部網絡使用者采用web browser 或者IDE開發插件使用掃描服務和管理掃描結果。

三、CxSuite Enterprise（CxEnterprise）主要功能及特性

n 作業系統獨立。

CxEnterpris企業服務下的代碼掃描不依賴于特定作業系統，隻需在在企業範圍内部署一台掃描伺服器，就可以掃描其它作業系統開發環境下的代碼，包括但不限于如下作業系統Windows、 Linux 、AIX，HP-Unix, Mac OS, Solaris

n 編譯器獨立、開發環境獨立，搭建測試環境簡單快速且統一。

由于CxSuite CxEnterprise采用了獨特的虛拟編譯器技術，代碼掃描不需要依賴編譯器和開發環境，無需為每種開發語言的代碼安裝編譯器和測試環境，隻需要通過CxClient登入到CxManager Application伺服器，提供本地代碼掃描代碼的目錄、遠端代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，掃描代碼無需通過編譯過程。搭建測試環境快速簡單，無需像其它的靜态分析工具，必須在相應的作業系統上安裝相應的工具軟體包，安裝衆多開發工具和代碼依賴的第三方庫及軟體包、調試代碼通過編譯，方可進行測試。CxSuite CxEnterprise安裝一次，即可掃描Java代碼、C/C++代碼、.NET代碼JSP、JavaSript 、VBSript、 .、C# 、 ASP.net 、VB.Net、 VB6、 、ASP 、Apex Visual Force… 等各種語言代碼，并且不管這些代碼是在windows平台、Linux平台或者其它平台的。

n 工具學習、教育訓練和使用的成本少，最小化影響開發進度。

由于編譯器、作業系統和開發環境獨立，使用者無需去學習每種平台下如何去編譯代碼，調試代碼、如何掃描測試代碼，無需去看每種平台下繁瑣的使用手則。因為Checkmarx CxEnterrise服務隻需要提供源代碼即可掃描，并給出精确的掃描結果。

n 低誤報

CxEnterprise 企業服務在掃描過程中全面分析應用的所有路徑和變量。準确的分析結果，驗證可能的風險是否真正導緻安全問題，自動排除噪音資訊，掃描結果幾乎就是最終的分析結果，其誤報率（False Positive）幾乎為零。極大的減少了審計分析的人工勞動成本，極大的節省了代碼審計的時間，為開發團隊赢得更多的開發時間。

n 安全漏洞覆寫面廣且全面 (低漏報）

數以百計的安全漏洞檢查适合任于何組織，支援最新的OWASP 、CWE、SANS、PCI、SOX等國際權威組織對軟體安全漏洞的定義。漏洞覆寫面廣，安全檢查全面，其自定義查詢語言CxQL可以讓使用者靈活制定需要的代碼規則，極大的豐富組織特定的代碼安全和代碼品質的需要。

n 安全查詢規則清晰且完全公開實作。

規則定義清晰，并完全公開所有規則的定義和實作讓使用者清楚知道工具如何去定義風險、如何去查找風險，透明各種語言風險。讓使用者知道工具已經做了那些工作，沒有做那些該工作。而不是給使用者一個黑匣子，使用者無法了解工具的細節和缺陷，無法在代碼審計過程中規避工具的風險（比如漏報和誤報），比如利用人工或者其它手段查找工具不能定位的問題。。

n 掃描性能

10萬行代碼掃描時間在10~30分鐘不等，視代碼複雜度和硬體配置而不同，。

n 安全規則自定義簡單高效

由于公開了所有規則實作的細節和文法，使用者可以快速修改規則或者參考已有的規則語句自定義自己需要規則，規則學習，定義簡單高效。能快速實作組織軟體安全政策。

n 業務邏輯和架構風險調查:

Checkmarx CxEnterprise服務可以對所有掃描代碼的任意一個代碼元素（詞彙）做動态的資料影響、控制影響和業務邏輯研究和調查。分析代碼邏輯和架構特有的安全風險，并最後定義規則精确查找這些風險。這是目前唯一能動态分析業務邏輯和軟體架構的靜态技術。

n 攻擊路徑的可視化，并以3D形式展現。

每一個安全漏洞的攻擊模式和路徑完全呈現出來，以3D圖形的方式顯示，便于安全問題調查和分析。

n 代碼實踐的加強

内置軟體代碼品質問題檢測，同時也提供自定義規則去驗證程式設計政策和最佳實踐。

n Checkmarx CxEnterprise目前支援主流語言

Java、JSP、JavaSript、 VBSript、 .NET 、C# 、 ASP.net 、VB.Net、 VB6、 C/C++ 、ASP 、Apex 、VisualForce、 PHP和SQL ，API to 3rd party languages

n 支援的主流架構（Framework）

Struts 、Spring、Ibatis、GWT、Hiberante 、Enterprise Libraries、Telerik 、ComponentArt 、Infragistics、FarPoint ，Ibatis.NET、 Hibernate.Net [*] 、MFC，并可針對客戶特定架構快速定制支援。

n 服務獨立，全面的團隊掃描支援

作為伺服器運作。開發人員、管理人員和審計人員都可以憑各自的身份憑證從任何一處登入伺服器，進行代碼掃描、安全審計、團隊、使用者和掃描任務管理。

n 高度自動化掃描任務

自動內建版本管理（SubVersion、CVS、ClearCase、TFS）、SMTP郵件伺服器和Windows賬戶管理，實作自動掃描代碼更新、自動掃描、自動報警和自動郵件通知…等

n 支援多任務排隊掃描、并發掃描、循環掃描、按時間排程掃描。

n 雲服務實作：支援跨Internet實作源代碼安全掃描“雲服務”。

轉：Checkmarx CxEnterprise 伺服器安裝手冊http://www.wxphp.com/wxd_921s52c0z72r4yj9c22s_5.html

  Checkmarx CxEnterprise 使用者使用手冊 https://wenku.baidu.com/view/5bedd147195f312b3069a587.html