Checkmarx

Checkmarx ابزار تحلیل سورس-کد از دید امنیت و با دقت بسیار بالا می باشد. این ابزار قابلیت اسکن خودکار برنامه‌های کامپایل نشده یا ساخت نشده را فراهم ساخته و صدها مشکل آسیب پذیری امنیتی را در زبان‌های برنامه نویسی رایج شناسایی می‌کند. این ابزار می‌تواند جهت افزایش بهره وری با فرآیند چرخه حیات تولید نرم افزار یکپارچه گردد. Checkmarx در سال 2015 به عنوان قویترین ابزار تحلیل امنیت توسط موسسه Gartner انتخاب شده است.

Service virtualization product views
 

checkmarx-tab

  1. قابلیت ها
  2. امکانات

پشتیبانی از اکثر زبان‌ها

تحلیل کد ایستای ابزارCheckmarx از 20 زبان کد‌‌نویسی و اسکریپت‌نویسی و چارچوب های آنها پشتیبانی می‌کند.

آخرین فناوری‌های تولید نرم افزار را پوشش می‌دهد.

نیازی به پیکربندی برای پویش برنامه نمی‌باشد.

نرم افزار checkmarx

پوشش جامع آسیب‌پذیری

شناسایی صدها آسیب‌پذیری شناخته‌شده در برنامه.

تضمین پوشش استانداردهای امنیتی (SANS 25 ،OWASP Top 10 و غیره).

متناسب با آئین‌نامه ها و استانداردهای صنعتی تایید شده.

نرم افزار checkmarx

صرفه‌جویی در زمان اصلاح برنامه

الگوریتم منحصر به فرد "Best Fix Location" از تحلیل ایستای کد CxSAST، چندین آسیب‌پذیری‌ موجود در برنامه را در یک نقطه منفرد رفع می‌کند.

هر توسعه‌دهنده‌ای می‌تواند این کار را انجام دهد.

صرفه‌جویی زیاد در زمان توسعه‌ صورت می گیرد.

نرم افزار checkmarx

پویش بدون زحمت (سهولت کاربری)

خط فرمان یا ویزارد پیچیده‌ای لازم نیست

وابستگی‌ها نیازی به پیکربندی ندارند

یادگیری آن در هنگام جابه‌جایی بین زبان‌ها پیچیدگی ندارد

فقط نیاز به دسترسی به کد دارد.

نرم افزار checkmarx

حلقه بازخورد سریع

قابلیت پویش افزایشی، فقط کد جدید یا کد اصلاح شده را تحلیل می‌کند.

تحلیلگر ایستای کد، زمان پویش را بیش از 80٪ کاهش می‌دهد.

ایده‌آل برای یکپارچه‌سازی (continuous integration) مداوم می باشد.

نرم افزار checkmarx

نتایج قابل اثبات

تمام نتایج، با استدلال و اثبات همراه است.

قانون پویش مورد نظر را برای ارائه علت اصلی نشان می‌دهد.

توسط موتور پویش بازِ Checkmarx فعال می‌شود.

نرم افزار checkmarx

قوانین انعطاف‌پذیر (دقت بالا)

مجموعه قوانین ابزار را با کد اختصاصی خود مطابقت دهید و مثبت‌های کاذب (false positives) را به حداقل برسانید.

قوانین را برای برآوردن نیازمندی‌های خود و تبعیت از اصول برنامه نویسی امن گسترش دهید.

علت اصلی هر نتیجه را بیابید.

نرم افزار checkmarx

اعمال خودکار سیاست امنیتی

نرم‌افزار تحلیل ایستای کد Checkmarx، با تمامIDE ها، سرورهای مدیریت ساخت (build management)، ابزارهای ردیابی خطا (issue tracker) و مخازن منبع (source code repository) یکپارچه می‌شود.

بخش جدایی‌ناپذیر از SDLC می‌شود.

تست امنیت و تست کیفیت در یک سطح قرار می‌گیرند.

نرم افزار checkmarx

عدم اتلاف وقت توسعه‌دهنده

پویش روی سرور به جای پویش روی ایستگاه کاری توسعه‌دهنده.

عدم کاهش سرعت و یا قفل شدن در زمانی که پویش در حال اجرا است.

توسعه‌دهندگان می‌توانند پیوسته و بدون هیچ وقفه‌ای روی دستگاه‌های خود، کار کنند.

نرم افزار checkmarx

تحلیل متن باز

فهرست: کدام یک از مولفه‌های متن باز، در برنامه مورد استفاده قرار گرفته است؟

امنیت: کدام یک از آسیب‌پذیری‌های شناخته شده متن باز در برنامه وجود دارد و چگونه می توان آنها را برطرف نمود؟

قانونی: تضمین موافقت با استفاده از لایسنس متن باز.

نرم افزار checkmarx

پشتیبانی از زبان‌های برنامه نویسی رایج همچون Java ،JS ،PHP ،Python ،Groovy ،C++ ،ASP.NET ،VB.NET ،Ruby ،Android ،PL/SQL ،Perl ،Cobol ،HTML5 و Apex

دارای رتبه اول در تحلیل سورس-کد از دید امنیت

اسکن صدها آسیب پذیری همچون SQL Injection ،Cross-Site Scripting ،Session Fixation ،Session poisoning ،Buffer Overflow ،Code Injection ،Parameter Tampering ،Cross-site request forgery ،Log forgery ،DoS ،Hardcoded password ،URL redirection attack Invalidated input ،Unhandled exception و Unreleased resources

پشتیبانی از استانداردهای رایج امنیت همچون OWASP ،OWASP Mobile ،HIPAA ،Mitre CWE ،PCI DSS ،MISRA ،SANS ،FISMA و BSIMM

قابلیت اسکن کدهای کامپایل نشده

قابلیت سفارشی سازی آسان

دارای محیط کاربر پسند

استفاده از مکانیزم‌های پیشرفته در جهت اسکن سریع

قابلیت یکپارچه سازی با فرایند ساخت و انتشار کدهای برنامه

استفاده از تکنیک تحلیل جریان داده (data flow analysis) در آنالیز برنامه

قابلیت ساخت داشبورد، گزارشات و نمودارهای شخصی

قابلیت یکپارچه سازی با ابزارهای سورس-کنترل رایج همچون SVN، Git و TFS

قابلیت یکپارچه سازی با ابزارهای continuous integration همچون Jenkins

قابلیت یکپارچه سازی با محیط های تولید رایج همچون Eclipse، Visual Studio و IntelliJ

قابلیت فراخوانی از طریق Command