愤斗的小薪

没有永远的彩笔,只有永远地辣鸡。

CheckMarx源代码安全测试工具

第1章 CheckMarx初见

1.1 what

Checkmarx 白盒代码审计解决方案,主要通过采用独特的词汇分析技术和CxQL专利查询技术对应用程序源码进行静态分析检查。

 

特点:

无需编译可以直接上传源码zip包,CheckMarx直接扫描源码;

规则可定制,用户可以根据不同的语言类型自定义选择检查规则,针对性强;

静态分析,代码无需运行;

增量扫描,再次扫描,只分析新增代码及相关文件;

低耦合,易于集成到软件开发的任何阶段。

1.2 who

谁开发:以色列的一家高科技软件公司CheckMarx开发本软件CxSuite(其实就叫这个名字)。

服务器要求:window服务器,linux好像不行!

目的

代码行数

可用内存

核心

CPU速度

磁盘

操作系统

Web 服务器

其它软件

集中式(POC)

150K

1.5 GB

2

2 Ghz

5 GB

Windows
XP, 7

Windows Server
2003, 2008, 2012

CxSuite
安装Ultidev

Windows Installer
3.1 or above
(Run msiexec to check)

.NET framework
3.5 SP1 or above

300K

3 GB

集中式(产品)

200K

6 GB

最少:3
建议:6

最低:2 GHz
建议:2.5 GHz

对于频繁扫描
最低:2.3 GHz
建议:2.8 GHz

250 GB

Windows Server
2003, 2008, 2012

IIS 6/7/8

600K

10 GB

1.2M

16 GB

最低:2.3 GHz
建议:2.8 GHz

2M

24 GB

4M

44 GB

CxEngine (产品)

 

对于多个CxEngine服务器
(为实现并发扫描)
每个服务器应该满足此要求

200K

2 GB

 

最少:2
建议:4

最低:2 GHz
建议:2.5 GHz

对于频繁扫描
最低:2.3 GHz
建议:2.8 GHz  

50 GB

NA

600K

6 GB

1.2M

12 GB

最低:2.3 GHz
建议:2.8 GHz  

2M

20 GB

4.5M

45 GB

CxManager (产品)

 

Minimum:
2 GB

Recommended:
4 GB 

2

最低:2 GHz
建议:2.5 GHz

250 GB

IIS 6/7/8

数据库(产品)

 

 

50 GB

NA

SQL Server
(Express not recommended)
2005/2008/2012

 

1.3 How?

目前感觉最佳的适用方法就是通过命令行+web页面查看结果的方式最为方便。

****再次省略了服务器的搭建和配置工作****

以下操作均为默认搭建好CheckMarx服务器,通过虚拟机远程访问CheckMark服务器进行代码静态检测的过程。

1.3.1 命令行部分

示例:

cd /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/

time -p sh /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/runCxConsole.sh scan -Projectname test_0110 -CxServer http://172.18.201.61 -cxuser admin@cx -cxpassword Admin@2017 -locationtype folder -locationpath /home/varas/Downloads/llvm/include/llvm/Transforms/ -preset Default -v -reportXML /home/varas/Downloads/test.xml

红色部分依次为:

Projectname: 检测项目名称(任起);

locationpath:测试项目路径(路径为文件夹路径最后是 / );

preset:预先设置的测试规则,目前建议通过web页面操作设置,见图2;

-reportXML: 生成检测报告的路径;

以上部分需要根据情况修改。

图1命令行检测

 

图2设置检测规则

1.3.2 web部分

通过浏览器访问CheckMarx Web服务器,按照项目名称进行查看检测报告。:

1.4 结论

Ø CheckMarx当前版本V8.4.1[SDLC]包含CPP_MISRA_C规则71条

目前没有分辨出这是那个版本里的,但是这只有部分,并不全。


 

Ø 服务器配置为Microsoft Windows Server 2012 R2 Standard配置如下

Ø  需要对跨文件分析进一步补充。

阅读更多
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/qq_34897442/article/details/80318762
想对作者说点什么? 我来说一句

checkMarx 测试工具3 测试工具

2016年01月21日 50MB 下载

checkMarx 测试工具

2016年01月21日 50MB 下载

checkMarx 测试工具4 测试工具

2016年01月21日 41.77MB 下载

checkMarx 测试工具2

2016年01月21日 50MB 下载

没有更多推荐了,返回首页

不良信息举报

CheckMarx源代码安全测试工具

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭