CxSCA软件成分分析

CxSCA软件成分分析

1掌控您的开源代码

与自研代码和商业软件一样,开源库也可能引入⻛险,组织必须识别此类⻛险、确定相应优先级并加以解决。安全漏洞可能使敏感数据面临泄漏⻛险,许可证要求可能危及您的知识产权,而过时的开源库则可能给开发团队造成不必要的支持和维护负担。在当今复杂的敏捷DevOps和CI/CD环境下,开发团队不能承受因为安全测试而延缓开发速度,而安全团队则不能将存在漏洞的软件部署到生产环境中。

CxSCA旨在解决现代DevOps所面临的此类问题,着眼于提供高度准确、相关且可执行的开源⻛险分析结果,以专职开源安全研究团队为后盾,并且可以无缝集成到整个SDLC。


2准确的检测结果,结合优先级排序,确保最佳效果

CxSCA可跟踪应用程序中实际使用的开源组件并对其进行解析,以找到真正的问题,而不是为您提供一⻓串模糊匹配和潜在误报结果,从而浪费您宝贵的时间。我们的专有扫描引擎可以检测并识别被扫描项目中的特定组件版本,以及在构建过程中解析的所有声明或可传递依赖项。这样可以以最高的准确度提供最大的检测范围,从而加快修复时间。

Checkmarx通过利用以我们行业领先的SAST技术为基础的源代码级分析,提升了软件组件分析(SCA)的标准,从而可帮助安全团队轻松识别开源软件中⻛险最大的漏洞,进而使开发人员能够专注于修复工作,确定修复的优先级。这样可大大缩短从漏洞检测到修复所需的时间,提高开发人员的整体工作效率。


3灵活、自动化的DevSecOps开源安全

安全的DevOps取决于能否为编写、保护和部署软件的人员提供第一手安全⻛险信息,同时不影响他们严格按时交付代码的能力。CxSCA专为自动执行项目分析而构建,能够以最适合各个利益相关方的方式提供快速反馈,包括在开发人员日常使用的工具(如构建管理器界面、代码存储库)中提供仪表板、可导出的报告、触发电子邮件通知以及摘要数据。CxSCA具备与多种CI工具和构建系统的现成集成能力,可实现安全DevOps所需的自动化流程。为了进一步增强灵活性,还可利用CxFlow(Checkmarx用于DevOps的端到端自动化插件)来减少安全与开发之间的摩擦。

CxSCA的独特价值

  • 查找影响安全、知识产权和时间的威胁

    识别开源漏洞,提供有效的严重性指标、详细的说明以及可执行的修复指导。确定潜在的许可证冲突和违规⻛险。确定哪些过时的开源库可能给您的开发团队带来更多支持和维护负担。生成详细的⻛险报告或通过API提取数据。

  • 优化修复工作,加快修复速度

    CxSCA利用Checkmarx行业领先的源代码分析技术来提高您的鉴别分类能力,使您能够集中精力应对紧迫的⻛险。利用我们行业领先的源代码分析技术,通过验证应用程序的执行路径中是否存在易受攻击的组件来确定修复措施的优先级。解析复杂的依赖项路径,以准确定位继承性漏洞的确切来源。

  • 灵活、安全的交付方案

    不要让复杂的基础架构和配置挑战成为安全软件 开发的障碍。CxSCA以可扩展企业级云的形式交 付,提供与基于云端或内部部署的SDLC和CI/ CD流程的集成、RESTAPI以及安全数据通信能 力。

  • 全球广泛认可的安全研究

    Checkmarx安全专家的研究已经得到⻓期广泛的认可。我们的专职开源安全研究团队专注于为已知CVE提供详细的描述和修复指导,同时可利用在发现时尚无相应CVE的Checkmarx独家检测漏洞,提供超越NVD等公共资源的更大检测范围。

  • 新威胁自动即时提醒

    CxSCA可对影响先前所分析项目的新漏洞保持密切监测,即使是在项目投入生产很久之后。获取即时电子邮件通知,或利用API进行数据提取,针对影响您项目的新漏洞提供提醒,无需再次扫描。

  • 简化APPSEC,优化操作

    作为Checkmarx应用安全测试(AST)产品组合的一部分,CxSCA还得益于与CxSAST拥有集中统一的用户管理、访问控制、项目创建和扫描启动操作。这可大大简化用户管理和访问控制的配置,让您可以花更少的时间来管理软件,将更多的时间用于管理软件安全。

CxSCA支持编程语言

  • 语⾔/框架

  • 程序包管理器

  • CI 及构建系统集成

CxIAST 交互式应用安全测试

CxIAST 交互式应用安全测试

  • 在当今竞争激烈的世界,软件的上市时间至关重要。组织面临越来越大的压力,必须不断交付新软件和改进软件。为了赢得竞争,任何工作都不能妨碍发布的速度。这种对速度的追求常常导致组织将安全性抛在脑后,使其经常成为攻击的目标。随着对威胁的认识不断增强,组织越来越需要能够支持这种高度迭代发布频率的安全测试工具。

  • Checkmarx交互式应用安全测试(CxIAST)是一种动态、持续的安全测试解决方案,通过利用现有的功能测试活动来检测正在运行的应用程序的漏洞。CxIAST专为适应敏捷开发、DevOps和CI/CD流程而设计。与传统的动态应用安全测试(DAST)解决方案不同,IAST不会对软件开发生命周期(SDLC)造成任何延迟。

CxIAST的独特价值

  • 能与SAST完全集成的IAST

    CxIAST与CxSAST的集成提供了有意义的关联,可提高漏洞扫描结果的置信水平,实现更快速的修复。

  • 灵活的部署选项

    可以在私有数据中心进行内部部署,也可以在AWS的私人租户设施或作为Docker容器进行托管。

  • 以开发人员为中心

    与其他IAST解决方案不同,CxIAST提供有关漏洞的完整源代码,帮助开发人员快速修复问题。

  • 易于定制

    CxIAST是业内唯一提供自定义查询创建和调整以优化结果的IAST。

CxIAST 扩展了软件安全管理平台,提供结果关联、更大的漏洞扫描范围和更智能的修复,最终可缩短软件上市时间,同时不牺牲安全性。

  • 1
    全面优化您补救措施的力度

    CxIAST是市场上少⻅的能与同类SAST解决方案完全集成的IAST产品。两种产品的数据和结果相互关联,与独立的IAST产品相比,可以实现更快速的修复。SAST生成的代码级建议与来自IAST的运行时信息相结合,使开发人员能够更好地了解在何处解决问题。

  • 2
    使用现有流程自动执行安全测试

    CxIAST使组织不必对运行中的应用程序执行专⻔的安全测试。测试环境可透明地集成一个非侵入性代理程序,以持续监测和收集应用程序活动。功能测试结束后,安全“扫描”也同时完成。

  • 3
    应用程序发生变化时实现安全性

    CxIAST专为DevOps构建,可无缝集成到QA自动化或CI/CD流程。可自动检测运行应用程序中的漏洞,支持几乎任何规模的应用程序组合。

  • 4
    完善您的AppSec测试组合

    CxIAST填补了您应用安全产品组合的一个关键层。尽管静态分析和软件组件分析能够确保您扫描所有自研代码和第三方开源库,但仍有某些缺陷只能在应用程序开始运行时才能检测到。CxIAST为您的SDLC盖上安全“印章”,同时不会中断您现有的DevOps和CI/CD工作流程。

CxIAST支持编程语言

漏洞扫描范围

CxIAST 可检测与输入相关的漏洞和应用程序漏洞,包括 OWASP Top 10等。

  • SQL 注入
  • XPath 注入
  • 跨站请求伪造
  • XSS 注入
  • 参数篡改
  • 敏感数据泄露
  • OS 命令注入
  • 开放重定向
  • 路径遍历
  • 违反信任边界规则