Checkmarx CxEnterprise代码审查

Checkmarx公司的 CxSuite CxEnterprise(简称CxEnterprise)静态源代码安全漏洞扫描和管理方案是业界最全面的、综合的源代码安全扫描和管理方案，该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。最大化方便和节约了企业源代码安全开发、扫描、审计和风险管理的成本和开销。其无与伦比的准确性和方便的企业部署和实施的特性赢得了全球众多客户的青睐。比如Salesforce.Com、道琼斯（新闻集团）、雅高、NDS公司、美国陆军、Amdocs等都在采用这种新一代的静态分析技术做源代码安全检测和风险评估。至今，Checkmarx的客户量数目庞大，其中包括涉及电信、金融银行、保险、汽车、媒体娱乐、软件、服务和军事等行业的财富1000的企业。2010年4月15日Checkmark被全球领先的行业分析公司Gartner评为“2010年度最酷应用安全供应商”

“Checkmarx is the first code analysis company that can inspect and summarize application security risk quickly, non-intrusively and with tremendous accuracy 。”

--- 摘自Gartner “ Cool Vendors in Application Security, 2010”报告。

二、Checkmarx CxEnterprise 主要功能组件

1. CxManager Application Server ： 接受CxClient扫描和查询请求，规则自定义，集中式提供企业级的用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理。

2． CxEngine Scan server: 执行具体扫描（分布式扫描和并行扫描），接受CxManager的扫描任务，并将扫描的结果存放在数据库，供CxManager查询和管理。

3. Database：

存放扫描规则、系统配置、扫描用户，扫描结果，扫描任务... 等所有预先配置的信息和结果信息

4． CxClient : CxManger的瘦客户端，可以允许多个客户端按照所赋予的权限和级别执行相应的代码扫描和结果审查及管理。客户可以通过CxClent组件、Internet、IDE（Eclipse/VS2005/Vs2008）等多种方式访问CxManager Application Server

5.CxPortal ：

Web services用于公司局域网或者外部网络采用web browser 或者IDE开发插件使用扫描服务。

6. Web浏览器、Eclipse和Visual Studio Plugin

CxPortal客户端，用于公司局域网或者外部网络用户采用web browser 或者IDE开发插件使用扫描服务和管理扫描结果。

三、CxSuite Enterprise（CxEnterprise）主要功能及特性

n 操作系统独立。

CxEnterpris企业服务下的代码扫描不依赖于特定操作系统，只需在在企业范围内部署一台扫描服务器，就可以扫描其它操作系统开发环境下的代码，包括但不限于如下操作系统Windows、 Linux 、AIX，HP-Unix, Mac OS, Solaris

n 编译器独立、开发环境独立，搭建测试环境简单快速且统一。

由于CxSuite CxEnterprise采用了独特的虚拟编译器技术，代码扫描不需要依赖编译器和开发环境，无需为每种开发语言的代码安装编译器和测试环境，只需要通过CxClient登录到CxManager Application服务器，提供本地代码扫描代码的目录、远程代码目录、和版本管理代码目录（Subversion、CVS，ClearCase即可，扫描代码无需通过编译过程。搭建测试环境快速简单，无需像其它的静态分析工具，必须在相应的操作系统上安装相应的工具软件包，安装众多开发工具和代码依赖的第三方库及软件包、调试代码通过编译，方可进行测试。CxSuite CxEnterprise安装一次，即可扫描Java代码、C/C++代码、.NET代码JSP、JavaSript 、VBSript、 .、C# 、 ASP.net 、VB.Net、 VB6、 、ASP 、Apex Visual Force… 等各种语言代码，并且不管这些代码是在windows平台、Linux平台或者其它平台的。

n 工具学习、培训和使用的成本少，最小化影响开发进度。

由于编译器、操作系统和开发环境独立，使用者无需去学习每种平台下如何去编译代码，调试代码、如何扫描测试代码，无需去看每种平台下繁琐的使用手则。因为Checkmarx CxEnterrise服务只需要提供源代码即可扫描，并给出精确的扫描结果。

n 低误报

CxEnterprise 企业服务在扫描过程中全面分析应用的所有路径和变量。准确的分析结果，验证可能的风险是否真正导致安全问题，自动排除噪音信息，扫描结果几乎就是最终的分析结果，其误报率（False Positive）几乎为零。极大的减少了审计分析的人工劳动成本，极大的节省了代码审计的时间，为开发团队赢得更多的开发时间。

n 安全漏洞覆盖面广且全面 (低漏报）

数以百计的安全漏洞检查适合任于何组织，支持最新的OWASP 、CWE、SANS、PCI、SOX等国际权威组织对软件安全漏洞的定义。漏洞覆盖面广，安全检查全面，其自定义查询语言CxQL可以让用户灵活制定需要的代码规则，极大的丰富组织特定的代码安全和代码质量的需要。

n 安全查询规则清晰且完全公开实现。

规则定义清晰，并完全公开所有规则的定义和实现让用户清楚知道工具如何去定义风险、如何去查找风险，透明各种语言风险。让用户知道工具已经做了那些工作，没有做那些该工作。而不是给用户一个黑匣子，用户无法了解工具的细节和缺陷，无法在代码审计过程中规避工具的风险（比如漏报和误报），比如利用人工或者其它手段查找工具不能定位的问题。。

n 扫描性能

10万行代码扫描时间在10~30分钟不等，视代码复杂度和硬件配置而不同，。

n 安全规则自定义简单高效

由于公开了所有规则实现的细节和语法，用户可以快速修改规则或者参考已有的规则语句自定义自己需要规则，规则学习，定义简单高效。能快速实现组织软件安全策略。

n 业务逻辑和架构风险调查:

Checkmarx CxEnterprise服务可以对所有扫描代码的任意一个代码元素（词汇）做动态的数据影响、控制影响和业务逻辑研究和调查。分析代码逻辑和架构特有的安全风险，并最后定义规则精确查找这些风险。这是目前唯一能动态分析业务逻辑和软件架构的静态技术。

n 攻击路径的可视化，并以3D形式展现。

每一个安全漏洞的攻击模式和路径完全呈现出来，以3D图形的方式显示，便于安全问题调查和分析。

n 代码实践的加强

内置软件代码质量问题检测，同时也提供自定义规则去验证编程策略和最佳实践。

n Checkmarx CxEnterprise目前支持主流语言

Java、JSP、JavaSript、 VBSript、 .NET 、C# 、 ASP.net 、VB.Net、 VB6、 C/C++ 、ASP 、Apex 、VisualForce、 PHP和SQL ，API to 3rd party languages

n 支持的主流框架（Framework）

Struts 、Spring、Ibatis、GWT、Hiberante 、Enterprise Libraries、Telerik 、ComponentArt 、Infragistics、FarPoint ，Ibatis.NET、 Hibernate.Net [*] 、MFC，并可针对客户特定框架快速定制支持。

n 服务独立，全面的团队扫描支持

作为服务器运行。开发人员、管理人员和审计人员都可以凭各自的身份凭证从任何一处登录服务器，进行代码扫描、安全审计、团队、用户和扫描任务管理。

n 高度自动化扫描任务

自动集成版本管理（SubVersion、CVS、ClearCase、TFS）、SMTP邮件服务器和Windows账户管理，实现自动扫描代码更新、自动扫描、自动报警和自动邮件通知…等

n 支持多任务排队扫描、并发扫描、循环扫描、按时间调度扫描。

n 云服务实现：支持跨Internet实现源代码安全扫描“云服务”。

转：Checkmarx CxEnterprise 服务器安装手册http://www.wxphp.com/wxd_921s52c0z72r4yj9c22s_5.html

  Checkmarx CxEnterprise 用户使用手册 https://wenku.baidu.com/view/5bedd147195f312b3069a587.html