SAST——Checkmarx静态检测工具收集(2)

这篇具有很好参考价值的文章主要介绍了SAST——Checkmarx静态检测工具收集(2)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Checkmarx是一家以色列高科技软件公司,是世界上著名的代码安全扫描软件Checkmarx CxSAST的生产商,拥有应用安全测试的业内前沿解决方案-CxSAST、CxOSA、CxIAST。分别对应的SAST、SCA和IAST三类应用安全测试类型工具。

Checkmarx CxSAST主要功能是查找安全漏洞、质量缺陷、逻辑问题和后门代码。是一个独特的源代码分析解决方案,该工具可用于识别、跟踪和修复源代码中技术上和逻辑上的缺陷,比如软件安全漏洞、质量缺陷问题和业务逻辑问题等。

Checkmarx使用 .net开发,必须安装在Windows上,它的规则也是类似.net语言的语法。其安装通常使用sql server数据库。

Checkmarx:订阅式和永久式。订阅式每年付费、永久式一次性付费。订阅式缺点是如果不续费,产品无法继续使用。订阅式每年的价格大约在50万人民币左右。还有一种方式按照用户数进行收费,不过用户可以同时登入。

Checkmarx提供了一个针对静态代码安全审计的解决方案,帮助企业在软件开发过程中查找、识别、追踪绝大部分主流编码中的技术漏洞和逻辑漏洞,帮助企业以低成本控制应用程序安全风险。CxSAST无需搭建软件项目源代码的构建环境即可对代码进行数据流分析。通过与各种SDLC组件的紧密集成,CxSAST可实现分析过程的完全自动化,并为审计员和开发人员提供对结果和补救建议的即时访问。

优势:

  1. 支持24种开发语言。
  2. 无需编译便可检测(Checkmarx早期针对编译型语言是编译后检测,几年前才调整为不需要编译就能检测)。
  3. 可以定制规则(虽然说门槛很高,用途不大,定制规则基本上无法发现高危漏洞,自定义规则主要是对违反安全编码规范的检测。但是由于很多国内客户被这些国外厂商洗脑,给出了一个美好的想象,实际上很难在生产中运用)。
  4. 支持增量检测(基于Git/SVN的增量检测,实际上是一种借助代码仓管给出的增量代码(包括新增,修改的文件)进行的检测)。
  5. 分析是java文件,非class文件。
  6. 误报率较高,一般在30-40%左右。
  7. 支持多个安全漏洞的关联分析。

劣势:

  1. 安装在Windows平台上。
  2. 默认检测规则比较差,适用性不强。
  3. 漏报率相对较高。
  4. 检测效率较低,一般在30-40万左右/小时。
  5. 无法支持国产服务器部署。

支持的24种开发语言:

Java、JSP、JS、SQL、VB.NET、H5、Kotlin、Ruby、ASP.net、TypeScript、Scala、ASP、C++、VB、PHP、Apex(AppExchange platform)、Stroooy、C#、ES5/ES6、Python、Go、visualForce、Swift、C

支持产生检测报告格式:

支持PDF、Excel、RTF、CSV和XML形式。

关于自定义规则说明:

Checkmarx把词法分析、语法分析的结果保存在数据库中,用户可以基于开放式查询语言(其内置查询语言CxQL允许对查询进行添加、修改和分组)编写查询语句,也就是通过类似SQL语句编写,完成自定义规则。一般用户是很难添加自己的定制查询语句,也很难使用自己定制的语句发现深层次的安全漏洞。

对编译型语言是针对源代码本身进行检测的解释:

Checkmarx CxEnterprise通过自行研发的综合词法分析、语法分析等分析技术,自动对软件源代码分析,并直接建立了代码元素及代码元素之间关系的逻辑图。然后Checkmarx CxEnterprise对这个内部代码图进行查询。

其缺陷模式匹配原理:

Checkmarx CxEnterprise包含针对所有编程语言已知数百个安全漏洞和质量缺陷问题预先设定好的查询(query)列表。可以查询全面而又广泛的代码安全和质量缺陷,同时使用Checkmarx CxEnterprise CxAudit 审计工具,您可以根据您自己的软件安全、质量保证和业务逻辑需要配置并自定义的查询(Query),以满足公司或者个人特定的代码安全策略及代码安全基线标准要求。

checkmarks的缺陷规则就是一个一个的查询,这个查询定义了如何从数据流网中找到我们关心的数据流。

checkmarks内置了100多个函数,客户可以利用这种函数找到关心的数据流的起点,终点。当然也可以定义净化点,比如设置某个API调用作为一个净化点,就不会报出经过该净化点的安全漏洞。

Checkmarx CxSuite插件组成:

CxManager - 直观的源代码安全扫描结果管理。

CxDeveloper –扫描源代码,定位安全缺陷。

CxViewer - 审查代码扫描结果以便于安全缺陷修复。

CxConsole- 命令行接口实现团队项目集中扫描和自动化。

CxAudit - 调查或者研究源代码,分析技术和逻辑安全问题,定制代码安全查询规则。CxAudit是Checkmarx产品套件CxSuite的一部分。该产品的设计旨在帮助安全风险管理人员编写具体的查询程序来加强公司的最佳实践和遵循标准安全规范,实现和制定公司安全策略,然后将其分配给开发团队进行统一的安全扫描。

支持检测的安全漏洞主要包括:

SQL注入、跨站脚本、代码注入、缓存溢出、参数篡改、跨站请求伪造、HTTP响应拆分、日志伪造、拒绝服务、会话固定、未处理的异常、未释放的资源、未经验证的输入、危险的文件、硬编码密码等等。

Checkmarx的深层次不足:

  1. 不支持模块引擎语言,比如Velocity、Freemarker、Thymeleaf等;
  2. 对前后端分离的项目分析无法支持,如后端Spring MVC,前端VUE无法关联分析;
  3. 不支持 vue、react等框架文件的分析。
  4. Cheackmarx不会对Spring依赖注入的情况,数据流经常是不完整的,注入的接口类不能进入内部分析,会造成一定的漏报。
  5. 对一些ORM框架不能进行数据流分析,如Mybatis、Spring data jpa等,实际执行sql操作的类都是运行时产生的,比如mapper接口实现类,Checkmarx不会分析不同的框架,造成了一定的误报。

(结束)文章来源地址https://www.toymoban.com/news/detail-459319.html

到了这里,关于SAST——Checkmarx静态检测工具收集(2)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SAST-数据流分析方法-理论

    众所周知,数据流分析是实现污点分析的一种常用技术 数据流分析分为过程内的数据流分析与过程间的数据流分析。前者是对一个方法体内的数据流分析,主要是基于CFG分析,不涉及方法调用;后者是基于不同方法间的数据流分析,主要是基于ICFG+CG分析,会涉及方法调用。

    2024年04月08日
    浏览(43)
  • 一款强大的红队信息收集和资产收集工具(Kscan)

    Kscan是一款纯go开发的全方位扫描器,具备端口扫描、协议检测、指纹识别等功能。支持协议1200+,协议指纹10000+,应用指纹2000+,暴力PJ协议10余种。 Kscan能够接受多种输入格式,无需在使用之前对扫描对象进行分类,比如区分为IP,还是URL地址等,这对于使用者来说无疑是徒

    2023年04月08日
    浏览(40)
  • 安全开发基础 -- DAST,SAST,IAST简单介绍

    DAST 动态应用程序安全测试(Dynamic Application Security Testing)技术在 测试或运行阶段 分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该Web应用是否易受攻击。 SAST 静态应用程序安全测试(Static Application Security Testing)技

    2024年02月04日
    浏览(34)
  • 信息收集工具使用

    目录 子域名收集 dnsenum扫描 dnsmap 路由跟踪 traceroute 主机发现 arping fping nbtscan nping protos 端口扫描 nmap扫描 目标探测 端口扫描 操作系统指纹 xprobe2 amap 优点: 介绍常用指令: 常用命令组合: 常用命令组合: 介绍常用指令: 常用命令组合: 介绍 常用命令使用 缺点 介绍 常用

    2024年04月25日
    浏览(26)
  • 红蓝对抗-最全信息收集工具

    项目简介 项目地址 项目名称 reconFTW 集成了30个工具的信息收集利器 https://github.com/six2dez/reconftw reconftw 资产无限巡航扫描系统 https://github.com/awake1t/linglong linglong SRC子域名资产监控 https://github.com/LangziFun/LangSrcCurise LangSrcCurise 快速侦察与目标关联的互联网资产,构建基础资产信

    2024年02月08日
    浏览(46)
  • 网络安全信息收集工具

    常用信息收集网址 站长之家: http://whois.chinaz.com Bugscaner: http://whois.bugscaner.com 国外在线: https://bgp.he.net 小蓝本: https://www.xiaolanben.com/pc 企查查: https://www.qichacha.com 天眼查: https://www.tianyancha.com 爱企查: https://aiqicha.baidu.com Amass: https://github.com/OWASP/Amass Subfinder: https://github.com/projec

    2024年01月22日
    浏览(43)
  • 《渗透测试》-前期信息收集及工具介绍01(信息收集简介、JSFinder、OneForAll)

    信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进 行。比如目标站点IP、中间件、脚本语言、端口、邮箱等等。信息收集包含资产收集 但不限于资产收集。 1、信息收集是渗透测试成功的保障 2、更多的暴露面 3、更大的可能性 1、主动信息收

    2024年02月03日
    浏览(54)
  • K8S 工具收集

    杂货铺,我不用 K8S,把见过的常用工具放在这里,后面学的时候再来找 名称 描述 官网 Pixie 查看 k8s 的工具。集群性能、网络状态、pod 状态、热点图等 Home Kubernetes Dashboard 基于 Web 的 Kubernetes 集群用户界面。 Github Gardener SAP 开源的 K8s 多集群解决方案。除了能在各种差异化基

    2024年02月04日
    浏览(50)
  • ChatGPT + MidJourney 提示词工具收集

    对于刚接触ChatGPT或其他智能AI绘画工具的新手来说,可能会面临一些挑战。在与ChatGPT聊天或编写绘画时,你可能会发现自己不知道该如何准确地描述你所需的信息或想要表达的意思,从而导致你无法获得最理想的结果,或者花费更长的时间也未果。特别是在编写绘画关

    2024年02月10日
    浏览(45)
  • 收集项目中用到的工具函数

    收集项目中常用的工具函数,以备后用,使用 TS 编写。 document.execCommand 已被弃用,但是想要兼容微信浏览器、兼容 IOS 设备还不得不使用它。`。 还有一个兼容性问题,在微信浏览器中,IOS 设备如果想要复制到剪切板,需要有一个点击操作,比如点击一个按钮。再将一个需要

    2024年02月01日
    浏览(34)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包