以色列Checkmarx公司的CxEnterprise静态源代码安全漏洞扫描和管理方案是业界最全面的、综 合的源代码安全扫描和管理方案,该方案提供用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略 管理、更新管理、报表管理等多种企业环境下实施源代码安全扫描和管理功能。最大程序上方便和节约了企业源代码安全开发、扫描、审计和风险管理的成本和开 销。其无与伦比的准确性和方便的企业部署和实施的特性赢得了全球众多客户的青睐。比如Salesforce.com、道琼斯(新闻集团)、雅高、NDS公司、美国陆军、Amdocs等都在采用这种新一代的静态分析技术做源代码安全检测和风险评估。如今,Checkmarx的客户量数目庞大,其中包括涉及电信、金融银行、保险、汽车、媒体娱乐、软件、服务和军事等行业的财富1000的企业。2010年4月15日Checkmark被全球领先的行业分析公司Gartner评为“2010年度最酷应用安全供应商”。
“Checkmarx is the first code analysis company that can inspect and summarize application security risk quickly, non-intrusively and with tremendous accuracy.”
--- 摘自Gartner “ Cool Vendors in Application Security, 2010”报告。
Checkmarx产品的部分国外客户
Checkmarx 产品的部分中国客户
二、 Checkmarx CxEnterprise 主要功能组件
1. CxManager Application Server:接受CxClient扫描和查询请求,规则自定义,集中式提供企业级的用户、角色和团队管理、权限管理、扫描结果管理、扫描调度和自动化管理、扫描资源管理、查询规则管理、扫描策略管理、更新管理、报表管理。
2. CxEngine Scan server:执行具体扫描(分布式扫描和并行扫描),接受CxManager的扫描任务,并将扫描的结果存放在数据库,供CxManager查询和管理。
3. Database:存放扫描规则、系统配置、扫描用户、扫描结果、扫描任务等所有预先配置的信息和结果信息。
4. CxClient:CxManger的瘦客户端,可以允许多个客户端按照所赋予的权限和级别执行相应的代码扫描和结果审查及管理。客户可以通过CxClent组件、Internet、IDE(Eclipse/VS2005/Vs2008)等多种方式访问CxManager Application Server。
5. CxPortal:Web services用于公司局域网或者外部网络采用Web browser或者IDE开发插件使用扫描服务。
6. Web浏览器、Eclipse和Visual Studio Plugin:CxPortal客户端,用于公司局域网或者外部网络用户采用web browser 或者IDE开发插件使用扫描服务和管理扫描结果。
Web浏览器客户端
Eclipse Plugin客户端
三、Checkmarx CxEnterprise主要功能及特性
1. 操作系统独立。
代码扫描不依赖于特定操作系统,只需在在企业范围内部署一台扫描服务器,就可以扫描其它操作系统开发环境下的代码,包括但不限于如下操作系统Windows、Linux