Checkmarx CxSAST Overview (tw_Checkmarx CxSAST概覽)

Checkmarx CxSAST是一種獨特的程式原始碼分析解決方案,提供的工具可識別、追蹤和修復程式原始碼中的技術和邏輯缺陷,例如安全弱點、規範問題和商務邏輯問題。

不需要建置或編譯軟體專案的程式原始碼,CxSAST就能建置程式碼元素和流程的邏輯圖表。CxSAST接著會查詢這個內部程式碼圖表。CxSAST隨附為數龐大的數百個預先設定查詢清單,適用於各種程式設計語言的已知安全弱點。使用CxSAST審計師工具,您可以自行設定安全、QA和商務邏輯用途的額外查詢。

CxSAST掃描結果會以靜態報告的形式提供,或採用互動式介面,根據程式碼當中的弱點追蹤執行階段行為,以及提供補救工具和方針。自訂結果以將誤判情況排除,還能將各種不同的工作流程中繼資料類型加入每個結果例項。只要會持續找到例項,就能透過後續掃描維護這些中繼資料。

CxSAST的掃描和分析輸入就是程式原始碼,而不是二進位檔,因此不需要建置或編譯,也不需要使用程式庫。程式碼甚至不需要能夠編譯或適當連結。因此,CxSAST可在軟體專案開發生命週期的任何時間點執行掃描和產生安全報告。

CxSAST支援開源分析(CxOSA),啟用授權和規範管理、弱點警示、原則強制執行和報告功能。CxOSA支援最常見的所有程式設計語言,讓組織除了內部開發的程式碼分析涵蓋範圍之外,還能保護所有開源組件的安全:(請參閱支援的程式碼語言和架構)。

您可以將CxSAST和開發週期的數個層面整合,例如軟體建置自動化工具(Apache AntMaven)、軟體開發版本控制系統(GIT)、問題追蹤和專案管理軟體(JIRA)、資源庫主控服務(GitHub)、應用程式弱點管理平台(ThreadFix)、持續整合平台(/wiki/spaces/SD/pages/68223027Jenkins)、雲端式程式原始碼分析工具(Salesforce)、持續程式碼品質檢查平台(SonarQube)和程式原始碼管理工具(TFS)。

CxSAST掃描可以手動啟動定期排程啟動,或由我們的其中一個整合式建置系統在建置時啟動。

CxSAST也支援各種不同的OS平台、程式設計語言和架構。

CxSAST會部署在伺服器上,而使用者可透過我們的網頁介面或其中一種IDE外掛程式(EclipseVisual StudioIntelliJ)來存取。

如有任何問題或意見,請與我們聯絡:support@checkmarx.com




Read more: