Checkmarx

Checkmarx ابزار تحلیل سورس-کد از دید امنیت و با دقت بسیار بالا می باشد. این ابزار قابلیت اسکن خودکار برنامه‌های کامپایل نشده یا ساخت نشده را فراهم ساخته و صدها مشکل آسیب پذیری امنیتی را در زبان‌های برنامه نویسی رایج شناسایی می‌کند. این ابزار می‌تواند جهت افزایش بهره وری با فرآیند چرخه حیات تولید نرم افزار یکپارچه گردد. Checkmarx در سال 2015 به عنوان قویترین ابزار تحلیل امنیت توسط موسسه Gartner انتخاب شده است.

قابلیت ها
امکانات

پشتیبانی از اکثر زبان‌ها

تحلیل کد ایستای ابزارCheckmarx از 20 زبان کد‌‌نویسی و اسکریپت‌نویسی و چارچوب های آنها پشتیبانی می‌کند.

آخرین فناوری‌های تولید نرم افزار را پوشش می‌دهد.

نیازی به پیکربندی برای پویش برنامه نمی‌باشد.

پوشش جامع آسیب‌پذیری

شناسایی صدها آسیب‌پذیری شناخته‌شده در برنامه.

تضمین پوشش استانداردهای امنیتی (SANS 25 ،OWASP Top 10 و غیره).

متناسب با آئین‌نامه ها و استانداردهای صنعتی تایید شده.

صرفه‌جویی در زمان اصلاح برنامه

الگوریتم منحصر به فرد "Best Fix Location" از تحلیل ایستای کد CxSAST، چندین آسیب‌پذیری‌ موجود در برنامه را در یک نقطه منفرد رفع می‌کند.

هر توسعه‌دهنده‌ای می‌تواند این کار را انجام دهد.

صرفه‌جویی زیاد در زمان توسعه‌ صورت می گیرد.

پویش بدون زحمت (سهولت کاربری)

خط فرمان یا ویزارد پیچیده‌ای لازم نیست

وابستگی‌ها نیازی به پیکربندی ندارند

یادگیری آن در هنگام جابه‌جایی بین زبان‌ها پیچیدگی ندارد

فقط نیاز به دسترسی به کد دارد.

حلقه بازخورد سریع

قابلیت پویش افزایشی، فقط کد جدید یا کد اصلاح شده را تحلیل می‌کند.

تحلیلگر ایستای کد، زمان پویش را بیش از 80٪ کاهش می‌دهد.

ایده‌آل برای یکپارچه‌سازی (continuous integration) مداوم می باشد.

نتایج قابل اثبات

تمام نتایج، با استدلال و اثبات همراه است.

قانون پویش مورد نظر را برای ارائه علت اصلی نشان می‌دهد.

توسط موتور پویش بازِ Checkmarx فعال می‌شود.

قوانین انعطاف‌پذیر (دقت بالا)

مجموعه قوانین ابزار را با کد اختصاصی خود مطابقت دهید و مثبت‌های کاذب (false positives) را به حداقل برسانید.

قوانین را برای برآوردن نیازمندی‌های خود و تبعیت از اصول برنامه نویسی امن گسترش دهید.

علت اصلی هر نتیجه را بیابید.

اعمال خودکار سیاست امنیتی

نرم‌افزار تحلیل ایستای کد Checkmarx، با تمامIDE ها، سرورهای مدیریت ساخت (build management)، ابزارهای ردیابی خطا (issue tracker) و مخازن منبع (source code repository) یکپارچه می‌شود.

بخش جدایی‌ناپذیر از SDLC می‌شود.

تست امنیت و تست کیفیت در یک سطح قرار می‌گیرند.

عدم اتلاف وقت توسعه‌دهنده

پویش روی سرور به جای پویش روی ایستگاه کاری توسعه‌دهنده.

عدم کاهش سرعت و یا قفل شدن در زمانی که پویش در حال اجرا است.

توسعه‌دهندگان می‌توانند پیوسته و بدون هیچ وقفه‌ای روی دستگاه‌های خود، کار کنند.

تحلیل متن باز

فهرست: کدام یک از مولفه‌های متن باز، در برنامه مورد استفاده قرار گرفته است؟

امنیت: کدام یک از آسیب‌پذیری‌های شناخته شده متن باز در برنامه وجود دارد و چگونه می توان آنها را برطرف نمود؟

قانونی: تضمین موافقت با استفاده از لایسنس متن باز.

پشتیبانی از زبان‌های برنامه نویسی رایج همچون Java ،JS ،PHP ،Python ،Groovy ،C++ ،ASP.NET ،VB.NET ،Ruby ،Android ،PL/SQL ،Perl ،Cobol ،HTML5 و Apex

دارای رتبه اول در تحلیل سورس-کد از دید امنیت

اسکن صدها آسیب پذیری همچون SQL Injection ،Cross-Site Scripting ،Session Fixation ،Session poisoning ،Buffer Overflow ،Code Injection ،Parameter Tampering ،Cross-site request forgery ،Log forgery ،DoS ،Hardcoded password ،URL redirection attack Invalidated input ،Unhandled exception و Unreleased resources

پشتیبانی از استانداردهای رایج امنیت همچون OWASP ،OWASP Mobile ،HIPAA ،Mitre CWE ،PCI DSS ،MISRA ،SANS ،FISMA و BSIMM

قابلیت اسکن کدهای کامپایل نشده

قابلیت سفارشی سازی آسان

دارای محیط کاربر پسند

استفاده از مکانیزم‌های پیشرفته در جهت اسکن سریع

قابلیت یکپارچه سازی با فرایند ساخت و انتشار کدهای برنامه

استفاده از تکنیک تحلیل جریان داده (data flow analysis) در آنالیز برنامه

قابلیت ساخت داشبورد، گزارشات و نمودارهای شخصی

قابلیت یکپارچه سازی با ابزارهای سورس-کنترل رایج همچون SVN، Git و TFS

قابلیت یکپارچه سازی با ابزارهای continuous integration همچون Jenkins

قابلیت یکپارچه سازی با محیط های تولید رایج همچون Eclipse، Visual Studio و IntelliJ

قابلیت فراخوانی از طریق Command

منو-درست