CheckMarx源代码安全测试工具

第1章 CheckMarx初见

1.1 what

Checkmarx 白盒代码审计解决方案，主要通过采用独特的词汇分析技术和CxQL专利查询技术对应用程序源码进行静态分析检查。

 

特点：

l 无需编译，可以直接上传源码zip包，CheckMarx直接扫描源码；

l 规则可定制，用户可以根据不同的语言类型自定义选择检查规则，针对性强；

l 静态分析，代码无需运行；

l 增量扫描，再次扫描，只分析新增代码及相关文件；

l 低耦合，易于集成到软件开发的任何阶段。

1.2 who

谁开发：以色列的一家高科技软件公司CheckMarx开发本软件CxSuite（其实就叫这个名字）。

服务器要求：window服务器，linux好像不行！

目的	代码行数	可用内存	核心	CPU速度	磁盘	操作系统	Web 服务器	其它软件
集中式（POC）	150K	1.5 GB	2	2 Ghz	5 GB	Windows XP, 7 Windows Server 2003, 2008, 2012	（CxSuite可 安装Ultidev）	Windows Installer 3.1 or above (Run msiexec to check) .NET framework 3.5 SP1 or above
	300K	3 GB
集中式（产品）	200K	6 GB	最少：3 建议：6	最低：2 GHz 建议：2.5 GHz 对于频繁扫描 最低：2.3 GHz 建议：2.8 GHz	250 GB	Windows Server 2003, 2008, 2012	IIS 6/7/8
	600K	10 GB
	1.2M	16 GB		最低：2.3 GHz 建议：2.8 GHz
	2M	24 GB
	4M	44 GB
CxEngine (产品)   对于多个CxEngine服务器 （为实现并发扫描） 每个服务器应该满足此要求	200K	2 GB	最少：2 建议：4	最低：2 GHz 建议：2.5 GHz 对于频繁扫描 最低：2.3 GHz 建议：2.8 GHz	50 GB		NA
	600K	6 GB
	1.2M	12 GB		最低：2.3 GHz 建议：2.8 GHz
	2M	20 GB
	4.5M	45 GB
CxManager (产品)		Minimum: 2 GB Recommended: 4 GB	2	最低：2 GHz 建议：2.5 GHz	250 GB		IIS 6/7/8
数据库（产品）					50 GB		NA	SQL Server (Express not recommended) 2005/2008/2012

 

1.3 How?

目前感觉最佳的适用方法就是通过命令行+web页面查看结果的方式最为方便。

****再次省略了服务器的搭建和配置工作****

以下操作均为默认搭建好CheckMarx服务器，通过虚拟机远程访问CheckMark服务器进行代码静态检测的过程。

1.3.1 命令行部分

示例：

cd /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/ time -p sh /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/runCxConsole.sh scan -Projectname test_0110 -CxServer http://172.18.201.61 -cxuser admin@cx -cxpassword Admin@2017 -locationtype folder -locationpath /home/varas/Downloads/llvm/include/llvm/Transforms/ -preset Default -v -reportXML /home/varas/Downloads/test.xml

红色部分依次为：

Projectname: 检测项目名称（任起）；

locationpath:测试项目路径（路径为文件夹路径最后是 / ）;

preset:预先设置的测试规则,目前建议通过web页面操作设置，见图2；

-reportXML: 生成检测报告的路径；

以上部分需要根据情况修改。

图1命令行检测

 

图2设置检测规则

1.3.2 web部分

通过浏览器访问CheckMarx Web服务器，按照项目名称进行查看检测报告。:

1.4 结论

Ø CheckMarx当前版本V8.4.1[SDLC]包含CPP_MISRA_C规则71条；

目前没有分辨出这是那个版本里的，但是这只有部分，并不全。

 

Ø 服务器配置为Microsoft Windows Server 2012 R2 Standard配置如下

Ø  需要对跨文件分析进一步补充。