CheckMarx源代码安全测试工具

第1章 CheckMarx初见

1.1 what

Checkmarx 白盒代码审计解决方案,主要通过采用独特的词汇分析技术和CxQL专利查询技术对应用程序源码进行静态分析检查。

 

特点:

无需编译可以直接上传源码zip包,CheckMarx直接扫描源码;

规则可定制,用户可以根据不同的语言类型自定义选择检查规则,针对性强;

静态分析,代码无需运行;

增量扫描,再次扫描,只分析新增代码及相关文件;

低耦合,易于集成到软件开发的任何阶段。

1.2 who

谁开发:以色列的一家高科技软件公司CheckMarx开发本软件CxSuite(其实就叫这个名字)。

服务器要求:window服务器,linux好像不行!

目的

代码行数

可用内存

核心

CPU速度

磁盘

操作系统

Web 服务器

其它软件

集中式(POC)

150K

1.5 GB

2

2 Ghz

5 GB

Windows
XP, 7

Windows Server
2003, 2008, 2012

CxSuite
安装Ultidev

Windows Installer
3.1 or above
(Run msiexec to check)

.NET framework
3.5 SP1 or above

300K

3 GB

集中式(产品)

200K

6 GB

最少:3
建议:6

最低:2 GHz
建议:2.5 GHz

对于频繁扫描
最低:2.3 GHz
建议:2.8 GHz

250 GB

Windows Server
2003, 2008, 2012

IIS 6/7/8

600K

10 GB

1.2M

16 GB

最低:2.3 GHz
建议:2.8 GHz

2M

24 GB

4M

44 GB

CxEngine (产品)

 

对于多个CxEngine服务器
(为实现并发扫描)
每个服务器应该满足此要求

200K

2 GB

 

最少:2
建议:4

最低:2 GHz
建议:2.5 GHz

对于频繁扫描
最低:2.3 GHz
建议:2.8 GHz  

50 GB

NA

600K

6 GB

1.2M

12 GB

最低:2.3 GHz
建议:2.8 GHz  

2M

20 GB

4.5M

45 GB

CxManager (产品)

 

Minimum:
2 GB

Recommended:
4 GB 

2

最低:2 GHz
建议:2.5 GHz

250 GB

IIS 6/7/8

数据库(产品)

 

 

50 GB

NA

SQL Server
(Express not recommended)
2005/2008/2012

 

1.3 How?

目前感觉最佳的适用方法就是通过命令行+web页面查看结果的方式最为方便。

****再次省略了服务器的搭建和配置工作****

以下操作均为默认搭建好CheckMarx服务器,通过虚拟机远程访问CheckMark服务器进行代码静态检测的过程。

1.3.1 命令行部分

示例:

cd /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/

time -p sh /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/runCxConsole.sh scan -Projectname test_0110 -CxServer http://172.18.201.61 -cxuser admin@cx -cxpassword Admin@2017 -locationtype folder -locationpath /home/varas/Downloads/llvm/include/llvm/Transforms/ -preset Default -v -reportXML /home/varas/Downloads/test.xml

红色部分依次为:

Projectname: 检测项目名称(任起);

locationpath:测试项目路径(路径为文件夹路径最后是 / );

preset:预先设置的测试规则,目前建议通过web页面操作设置,见图2;

-reportXML: 生成检测报告的路径;

以上部分需要根据情况修改。

CheckMarx源代码安全测试工具_第1张图片

图1命令行检测

 

CheckMarx源代码安全测试工具_第2张图片

图2设置检测规则

1.3.2 web部分

通过浏览器访问CheckMarx Web服务器,按照项目名称进行查看检测报告。:

CheckMarx源代码安全测试工具_第3张图片

1.4 结论

Ø CheckMarx当前版本V8.4.1[SDLC]包含CPP_MISRA_C规则71条;

目前没有分辨出这是那个版本里的,但是这只有部分,并不全。


 

Ø 服务器配置为Microsoft Windows Server 2012 R2 Standard配置如下

CheckMarx源代码安全测试工具_第4张图片

Ø  需要对跨文件分析进一步补充。

你可能感兴趣的:(开发记录,静态检测)