Checkmarx CxEnterprise靜態(tài)源代碼安全漏洞分析和管理工具研討會(huì)20110831

CheckmarxCxEnterprise

企業(yè)級(jí)源代碼安全漏洞掃描分析和管理工具研討會(huì)會(huì)議主題Checkmarx中國公司介紹CheckmarxCxEnterprise產(chǎn)品介紹和演示產(chǎn)品概述組件及架構(gòu)掃描原理產(chǎn)品演示產(chǎn)品功能及特性軟件安全出產(chǎn)品和咨詢服務(wù)Checkmarx中國分公司介紹主要業(yè)務(wù)范圍：Checkmarx中國分公司-為中國客戶提供專業(yè)的軟件安全方面的產(chǎn)品和咨詢服務(wù),幫助客戶以盡量的低的開發(fā)成本高效地開發(fā)可靠的,安全的軟件。服務(wù)：軟件安全風(fēng)險(xiǎn)評(píng)估軟件安全風(fēng)險(xiǎn)消軟件安全培訓(xùn)和教育軟件安全生命開發(fā)周期SDL咨詢產(chǎn)品：CheckmarxCxEnterprise：企業(yè)級(jí)源代碼安全漏洞掃描和分析管理工具TeamMentor:軟件開發(fā)團(tuán)隊(duì)安全開發(fā)指導(dǎo)系統(tǒng)。Teamprofessor

eLearning:在線應(yīng)用安全電子培訓(xùn)課程。軟件安全生命開發(fā)周期SDL咨詢需求收集設(shè)計(jì)開發(fā)測(cè)試部署維護(hù)架構(gòu)和設(shè)計(jì)評(píng)估代碼安全審計(jì)安全評(píng)估部署安全審計(jì)威脅建模設(shè)計(jì)安全的應(yīng)用構(gòu)建安全的應(yīng)用安全網(wǎng)絡(luò)主機(jī)和應(yīng)用Checkmarx在中國的部分客戶CheckmarxCxEnterprise源代碼安全掃描和管理工具概述CheckmarxCxEnterprise靜態(tài)源代碼安全漏洞掃描和管理工具是以色列Checkmarx公司在分析全球靜態(tài)分析技術(shù)的優(yōu)缺點(diǎn)后,結(jié)合全球安全組織和安全專家多年的軟件安全咨詢的經(jīng)驗(yàn)而研發(fā)出的新一代源代碼安全掃描方案,旨在從根源上識(shí)別、跟蹤和修復(fù)源代碼的技術(shù)和邏輯上的安全缺陷。該方案獨(dú)創(chuàng)以查詢技術(shù)定位代碼安全問題,克服了傳統(tǒng)靜態(tài)分析工具誤報(bào)率（FalsePositive）高和漏報(bào)（FalseNegative）的缺陷.主要提供的功能:源代碼安全漏洞的掃描、結(jié)果分析和管理源代碼技術(shù)和邏輯缺陷調(diào)查、分析及規(guī)則自定義。掃描團(tuán)隊(duì)和用戶權(quán)限管理掃描自動(dòng)化及任務(wù)調(diào)度管理私有/公有虛擬云服務(wù)版本CheckmarxCxSuiteEnterpriseEdition(C/S)（企業(yè)級(jí)客戶）CheckamrxCxSuiteEnterprisePortalBase(B/S)（云服務(wù)）

15.04.2010

CheckmarxNamed"CoolVendor"byLeadingAnalystFirm-GartnerCheckmarxCxsuite其無與倫比的準(zhǔn)確性和方便的企業(yè)部署和實(shí)施的特性贏得了全球眾多客戶的青睞。比如Salesforce.Com、道瓊斯（新聞集團(tuán)）、雅高、NDS公司、美國陸軍、Amdocs等都在采用這種新一代的靜態(tài)分析技術(shù)做源代碼安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估。至今，Checkmarx的客戶量數(shù)目龐大，其中包括涉及電信、金融銀行、保險(xiǎn)、汽車、媒體娛樂、軟件、服務(wù)和軍事等行業(yè)的財(cái)富1000的企業(yè)。2010年4月15日Checkmark被全球領(lǐng)先的行業(yè)分析公司Gartner評(píng)為“2010年度最酷應(yīng)用安全供應(yīng)商”“Checkmarxisthefirstcodeanalysiscompanythatcaninspectandsummarizeapplicationsecurityriskquickly,non-intrusivelyandwithtremendousaccuracy。”摘自Gartner“CoolVendorsinApplicationSecurity,2010”報(bào)告。CheckmarxCxEnterprise的基本架構(gòu)CheckmarxCxEnterprise產(chǎn)品的基本組件CxScanEngineCxScanEngine安裝在指定的服務(wù)器上，引擎服務(wù)負(fù)責(zé)掃描和查詢的任務(wù)。CxManagerCxManager安裝在指定的服務(wù)器上，負(fù)責(zé)管理用戶、項(xiàng)目、掃描任務(wù)等。CxManager與CxScanEngine通信。CxClient輕量級(jí)的客戶端組件，安裝在客戶端的機(jī)子上。CxClient通過WCF與CxManager通信。CheckmarxCxEnterprise產(chǎn)品的基本組件4.CxPortalWebService：Webservices用于公司局域網(wǎng)或者外部網(wǎng)絡(luò)采用webbrowser或者IDE開發(fā)插件使用掃描服務(wù)。

5.Web瀏覽器、Eclipse和VisualStudioPluginCxPortal客戶端，用于公司局域網(wǎng)或者外部Internet網(wǎng)絡(luò)用戶采用webbrowser或者IDE開發(fā)插件使用掃描服務(wù),管理掃描結(jié)果。CheckmarxCxenterprise靜態(tài)源代碼掃描原理ExhaustiveFlowScannerCode&FlowDatabase查詢檢測(cè)引擎已知查詢專有查詢隨機(jī)查詢順序棧漏洞圖虛擬編譯器詳盡流掃描儀常見的語言形式Java.NetApexC,C++…查詢

CheckmarxCxSuite產(chǎn)品演示Checkmarx

CxEnterprise（C/S）演示角色介紹、創(chuàng)建和權(quán)限管理客戶端遠(yuǎn)程登錄到服務(wù)器掃描項(xiàng)目和掃描任務(wù)的建立報(bào)表生成。查詢規(guī)則的自定義。Checkmarx

CxEnterprise

Portal

Base（B/S）演示Checkmarx

Eclipse和Visual

Studio

pluginCheckmarxCxSuite主要功能及特性

操作系統(tǒng)獨(dú)立CxEnterpris企業(yè)服務(wù)下的代碼掃描不依賴于特定操作系統(tǒng)，只需在在企業(yè)范圍內(nèi)部署一臺(tái)掃描服務(wù)器，就可以掃描其它操作系統(tǒng)開發(fā)環(huán)境下的代碼，包括但不限于如下操作系統(tǒng)Windows、Linux、AIX，HP-Unix,MacOS,Solaris。不需要購買額外的硬件服務(wù)器和操作系統(tǒng)-

Linux、AIX，HP-Unix,MacOS,Solaris編譯器獨(dú)立、開發(fā)環(huán)境獨(dú)立，搭建測(cè)試環(huán)境簡(jiǎn)單快速且統(tǒng)一由于采用了獨(dú)特的虛擬編譯器技術(shù)，代碼掃描不需要依賴編譯器和開發(fā)環(huán)境，無需為每種開發(fā)語言的代碼安裝編譯器和測(cè)試環(huán)境，只需要通過CxClient登錄到CxManagerApplication服務(wù)器，提供本地代碼掃描代碼的目錄、遠(yuǎn)程代碼目錄、和版本管理代碼目錄（Subversion、CVS，ClearCase即可，掃描代碼無需通過編譯過程。搭建測(cè)試環(huán)境快速簡(jiǎn)單，無需像其它的靜態(tài)分析工具，必須在相應(yīng)的操作系統(tǒng)上安裝相應(yīng)的工具軟件包，安裝眾多開發(fā)工具和代碼依賴的第三方庫及軟件包、調(diào)試代碼通過編譯，方可進(jìn)行測(cè)試。CxSuiteCxEnterprise安裝一次，即可掃描Java代碼、C/C++代碼、.NET代碼JSP、JavaSript、VBSript、.、C#、ASP.net、VB.Net、VB6、、ASP、ApexVisualForce、PHP,Ruby

…等各種語言代碼，并且不管這些代碼是在windows平臺(tái)、Linux平臺(tái)或者其它平臺(tái)的

無需購買各種語言的開發(fā)環(huán)境和編譯器,大大節(jié)約試驗(yàn)室掃描代碼環(huán)境的搭配工具學(xué)習(xí)、培訓(xùn)和使用的成本少，最小化影響開發(fā)進(jìn)度:由于編譯器、操作系統(tǒng)和開發(fā)環(huán)境獨(dú)立，使用者無需去學(xué)習(xí)每種平臺(tái)下如何去編譯代碼，調(diào)試代碼、如何掃描測(cè)試代碼，無需去看每種平臺(tái)下繁瑣的使用手則。因?yàn)镃heckmarxCxEnterrise服務(wù)只需要提供源代碼即可掃描，并給出精確的掃描結(jié)果CheckamrxCxSuite主要功能及特性(續(xù))低誤報(bào):CxSuite企業(yè)服務(wù)在掃描過程中全面分析應(yīng)用的所有路徑和變量。準(zhǔn)確的分析結(jié)果，驗(yàn)證可能的風(fēng)險(xiǎn)是否真正導(dǎo)致安全問題，自動(dòng)排除噪音信息，掃描結(jié)果幾乎就是最終的分析結(jié)果，其誤報(bào)率（FalsePositive）幾乎為零。極大的減少了審計(jì)分析的人工勞動(dòng)成本，極大的節(jié)省了代碼審計(jì)的時(shí)間，為開發(fā)團(tuán)隊(duì)贏得更多的開發(fā)時(shí)間。安全漏洞覆蓋面廣且全面(低漏報(bào))：數(shù)以百計(jì)的安全漏洞檢查適合任于何組織，支持最新的OWASP、CWE、SANS、PCI、SOX等國際權(quán)威組織對(duì)軟件安全漏洞的定義。漏洞覆蓋面廣，安全檢查全面，其自定義查詢語言CxQL可以讓用戶靈活制定需要的代碼規(guī)則，極大的豐富組織特定的代碼安全和代碼質(zhì)量的需要。安全查詢規(guī)則清晰且完全公開實(shí)現(xiàn)：規(guī)則定義清晰，并完全公開所有規(guī)則的定義和實(shí)現(xiàn)讓用戶清楚知道工具如何去定義風(fēng)險(xiǎn)、如何去查找風(fēng)險(xiǎn)，透明各種語言風(fēng)險(xiǎn)。讓用戶知道工具已經(jīng)做了那些工作，沒有做那些該工作。而不是給用戶一個(gè)黑匣子，用戶無法了解工具的細(xì)節(jié)和缺陷，無法在代碼審計(jì)過程中規(guī)避工具的風(fēng)險(xiǎn)（比如漏報(bào)和誤報(bào)），比如利用人工或者其它手段查找工具不能定位的問題。可以移植該工具庫的知識(shí)到其他工具里去,完善其他工具的能力安全規(guī)則自定義簡(jiǎn)單高效由于公開了所有規(guī)則實(shí)現(xiàn)的細(xì)節(jié)和語法，用戶可以快速修改規(guī)則或者參考已有的規(guī)則語句自定義自己需要規(guī)則，規(guī)則學(xué)習(xí)，定義簡(jiǎn)單高效。能快速實(shí)現(xiàn)組織軟件安全策略。可以累積試驗(yàn)室的安全研究成果,把實(shí)驗(yàn)室的成果轉(zhuǎn)換成查詢規(guī)則,然后用自動(dòng)化的方式去驗(yàn)證試驗(yàn)室的安全知識(shí)對(duì)實(shí)際系統(tǒng)的應(yīng)用情況.

CheckamrxCxEnterprise主要功能及特性(續(xù))業(yè)務(wù)邏輯和架構(gòu)風(fēng)險(xiǎn)調(diào)查:CheckmarxCxSuite服務(wù)可以對(duì)所有掃描代碼的任意一個(gè)代碼元素（詞匯）做動(dòng)態(tài)的數(shù)據(jù)影響、控制影響和業(yè)務(wù)邏輯研究和調(diào)查。分析代碼邏輯和架構(gòu)特有的安全風(fēng)險(xiǎn)，并最后定義規(guī)則精確查找這些風(fēng)險(xiǎn)。這是目前唯一能動(dòng)態(tài)分析業(yè)務(wù)邏輯和軟件架構(gòu)的靜態(tài)技術(shù)。服務(wù)獨(dú)立，全面的團(tuán)隊(duì)掃描支持作為服務(wù)器運(yùn)行。開發(fā)人員、管理人員和審計(jì)人員都可以憑各自的身份憑證從任何一處登錄服務(wù)器，進(jìn)行代碼掃描、安全審計(jì)、團(tuán)隊(duì)、用戶和掃描任務(wù)管理。高度自動(dòng)化掃描任務(wù)自動(dòng)集成版本管理（SubVersion、CVS、ClearCase、TFS）、SMTP郵件服務(wù)器和Windows賬戶管理，實(shí)現(xiàn)自動(dòng)掃描代碼更新、自動(dòng)掃描、自動(dòng)報(bào)警和自動(dòng)郵件通知…等CheckamrxCxEnterprise主要功能及特性(續(xù))CheckmarxCxSuite目前支持主流語言

Java、JSP、JavaSript、VBSript、.NET、C#、ASP.net、VB.Net、VB6、C/C++、ASP、Apex、VisualForce、PHP,Ruby，APIto3rdpartylanguages支持的主流框架（Framework）Struts、Spring、Ibatis、GWT、Hiberante、EnterpriseLibraries、Telerik、ComponentArt、Infragistics、FarPoint，Ibatis.NET、Hibernate.Net[*]、MFC，并可針對(duì)客戶特定框架快速定制支持。支持多任務(wù)排隊(duì)掃描、并發(fā)掃描、循環(huán)掃描、按時(shí)間調(diào)度掃描。云服務(wù)實(shí)現(xiàn)：支持跨Internet實(shí)現(xiàn)源代碼安全掃描“云服務(wù)”軟件安全和產(chǎn)品培訓(xùn)服務(wù)產(chǎn)品源代碼安全掃描及管理工具（CheckmarxCxSuiteCxEnterpriseandPortalBase)Web在線的軟件安全開發(fā)知識(shí)庫指導(dǎo)系統(tǒng)——TeamMentorWeb-eLearning在線安全培訓(xùn)模塊-Teamprofessor服務(wù)軟件安全風(fēng)險(xiǎn)評(píng)估和咨詢(包括滲透測(cè)試和代碼安全測(cè)試和咨詢）SDL培訓(xùn)和咨詢定制服務(wù)安全開發(fā)指南定制：Java/JavaEE安全開發(fā)編碼指南C/C++安全開發(fā)編碼指南.NET安全開發(fā)編碼指南其它特定的文檔。源代碼安全代碼掃描需要關(guān)注的核心問題源代碼風(fēng)險(xiǎn)在哪兒？只有知道了有普遍存在有哪些風(fēng)險(xiǎn)，你才能去找到風(fēng)險(xiǎn)，也就是說，你有目標(biāo)嗎？目標(biāo)明確嗎？怎樣去導(dǎo)出你的目標(biāo)？輸入的風(fēng)險(xiǎn)/輸出的風(fēng)險(xiǎn)/數(shù)據(jù)庫的風(fēng)險(xiǎn)/Web頁面的風(fēng)險(xiǎn)/框架的風(fēng)險(xiǎn)/三方中間件的風(fēng)險(xiǎn)…….。工具能否清晰和透明告訴你這些嗎？Checkmarx源代碼掃描工具能清晰告訴你他是怎么找風(fēng)險(xiǎn)的，已經(jīng)考慮了那些風(fēng)險(xiǎn)?。?！怎樣去定位代碼風(fēng)險(xiǎn)？如何找風(fēng)險(xiǎn)？工具能清晰透明告訴你嗎？，使用者能否去做調(diào)整嗎？Checkmarx源代碼掃描工具能清晰告訴工具如何找的，它是如何考慮風(fēng)險(xiǎn)以及如何實(shí)現(xiàn)的，用戶如何去調(diào)整滿足特定需要的?。?！結(jié)果是否精確工具對(duì)所有風(fēng)險(xiǎn)的可疑點(diǎn)是否做驗(yàn)證，最終的結(jié)果是精確的，還是粗糙的，人工去分辨結(jié)果的工作量大小。Checkmarx源代碼掃描工具掃描時(shí)驗(yàn)證結(jié)果，輸出精確的結(jié)果。最小化人工審計(jì)勞動(dòng)工具是否提供方便透明的擴(kuò)展手段以滿足客戶特定環(huán)境和開發(fā)組件的需要，并輕松實(shí)現(xiàn)企業(yè)代碼安全的策略？需求在變化，開發(fā)的框架，技術(shù)手段都在