Часть 1. Предисловие

Checkmarx — инструмент аудита кода, разработанный в Израиле.,Разработано .NET,Можно использовать только под Windows. Многим нравится сравнивать его с Fortify.,На самом деле сложно сказать, какой из двух инструментов лучше.,У каждого свои качели,Было бы лучше, если бы эти два инструмента дополняли друг друга. Checkmarx — это то же самое, что Fortify,Это коммерческая версия,Нет бесплатной версии。Судя по моему собственному практическому опыту, некоторые уязвимости высокого риска иногда может сканировать Fortify, а иногда Checkmarx. Невозможно судить, какой инструмент более мощный.。CheckmarxВ Интернете очень мало руководств по использованию.,Я прочитал его инструкцию,Инструкция немного сложная,Позвольте мне написать простой учебник, чтобы каждый мог начать.

О галочках от Инструменты командной строки Использование、CheckmarxизAPIМетод вызова интерфейса,Мы поговорим об этом позже。Добро пожаловать на мою общедоступную учетную запись ABC_123, 99% оригинала, добро пожаловать на подписку, добро пожаловать на пересылку。

Помощь: Есть ли у кого-нибудь взломанная или пробная версия Codesecure и IBM Security AppScan Source. Если удобно, пришлите мне на пробу. Гарантирую, что она не будет использоваться в коммерческих целях. Спасибо♪(･ω･). )ﾉ

Часть 2, процесс установки

Должен сказать,Установка Checkmarx обычно представляет собой ряд тонкостей и поворотов.,Требуется дополнительная установка IIS, среды .NET, базы данных SQLServer и т. д.,Обычно мне приходится устанавливать его несколько раз, прежде чем я добьюсь успеха.。Я настоятельно рекомендую вам установить его на виртуальную машину win2012 или win2016. Если установка не удалась, вы можете восстановить его и переустановить.,Или вы можете найти в Интернете взломанную версию версии виртуальной машины, созданную другими.,Конечно, способные компании могут приобрести коммерческую версию.,Этот официальный аккаунт не предоставляет адрес для загрузки.,Все ищут это в Интернете. Для программного обеспечения Процесс установки, позвольте мне рассказать о нескольких ключевых моментах:

1 Убедитесь, что запущены следующие службы: CxJobsManager, CxScansManager, CxSystemManager, CxScanEngine, IIS. Admin Service、World Wide Web Publishing Service。

2 После завершения установки отображается сообщение об ошибке. Не волнуйтесь, вам нужно подождать несколько минут, поскольку запуск различных служб Checkmarx занимает определенное время.

3 Checkmarx, как и большинство инструментов аудита кода, требует очень высокой конфигурации системы. Обычно я выделяю ему 16 ГБ памяти.

4 В качестве операционной системы рекомендуется выбрать win2012 или win2016. Для последней версии может потребоваться win2019, я не уверен.

5 网上有不少版本из破解版,Некоторые взломанные версии остаются зависшими после сканирования на 90% или 99%. Это означает, что взлом не идеален и есть скрытые заглушки, которые не были удалены. Вам следует тщательно их проверить.。

Интерфейс программного обеспечения по умолчанию на английском языке. Его можно изменить на китайский интерфейс в соответствии со следующими настройками.

Часть 3. Использование клиента для сканирования кода.

Есть два способа использования Checkmarx.,Одна из них — клиентская программа.,Один из них — веб-интерфейс. Для начала давайте познакомимся с использованием клиентских программ.,首先Нажмите桌面из“Checkmarx Audit”ярлык,Введите имя пользователя и пароль для входа.

Затем нажмите“New Local Project”кнопка,Нажмите“Browse”кнопка,Выберите папку с Java-кодом, который необходимо отсканировать.,Не забудьте включить полный пакет jar, иначе Checkmarx не будет успешно скомпилирован, что приведет к пропущенным результатам сканирования.。

Нажмите“Count”Вы можете напрямую указать количество строк кода,Удобно оценивать нагрузку по аудиту кода.

Проверять“Select Queries Before Loading Project”Параметры,Вы можете вручную выбрать базу правил для аудита кода.

существовать“Run Multiple Queries”Под интерфейсом,Вы можете выбрать базу правил аудита кода, которую хотите использовать. Если это Java-код,Нам просто нужно проверить опцию Java,Затем нажмите“Scan”кнопка。

Checkmarx начинает сканирование,существовать“Loading Project”под окном,Вы можете видеть ход сканирования.

Далее проверьте результаты сканирования,Проверять“Hide Empty”,Элементы результатов сканирования без уязвимостей можно скрыть,так“Results History”下из漏洞结果一目Понятно然。

В поле в правом нижнем углу щелкните один раз, чтобы просмотреть соответствующий код напрямую, и Checkmarx сможет выделить код.

В крайнем правом окне вы можете увидеть всю блок-схему распространения уязвимостей. Эта функция аналогична функции Fortify Diragram и очень удобна. Аудиторы кода могут использовать эту блок-схему для проверки наличия каких-либо функций фильтрации, которые отфильтровывают или экранируют специальные символы, используемые при эксплуатации уязвимости в процессе распространения вредоносного воздействия, а также используют функции фильтрации, чтобы выяснить, существует ли возможность обхода.

В этом окне результаты сканирования можно сохранить и открыть в следующий раз с помощью галочки.

Откройте интерфейс еще раз,существовать界面左边из“Projects”,Вы можете просмотреть проекты аудита кода, которые были проверены в прошлом.

Часть 4. Сканирование кода с помощью веб-интерфейса.

Далее поговорим о том, как пользоваться веб-интерфейсом.,Нажмите桌面изярлык“Checkmarx Portal”,Откроется веб-интерфейс.

После ввода имени пользователя и пароля вы можете использовать веб-интерфейс для выполнения работы по аудиту кода, но лично я не рекомендую использовать этот интерфейс, поскольку работа веб-интерфейса немного тормозит.

существовать“Панель управления”под этикеткой,Вы можете видеть, что раньше мы использовали клиентскую программу.“Checkmarx Audit”进行扫描из扫描结果,Название проектаscan111,

Далее поговорим о том, как выполнить сканирование кода. Сначала нажмите кнопку «Новый проект».

Нажмите, чтобы загрузить сжатый пакет исходного кода Java,Некоторые версии могут иметь ограничение на размер файла в 200 МБ.,Нужно использовать его в это времяCxZip utilityПроцесс。

Нажмите“Подсчет строк”,Вы можете узнать общее количество строк кода,Затем оцените объем работы по аудиту кода.

之后一直Нажмите“Следующий шаг”,最后Нажмите“Заканчивать”。

Затем начинается процесс сканирования,Как показано ниже,Представляет задание сканирования Заканчивать Понятно6%。

После завершения сканирования вы можете увидеть общее распределение уязвимостей текущего проекта, в том числе, сколько уязвимостей высокого риска, сколько уязвимостей среднего и низкого риска было обнаружено и т. д.

Нажмите“Открыть сводку сканирования”,Появится следующий интерфейс.

Нажмите“открыть просмотрщик”,Результатами сканирования можно манипулировать как клиентом.,Просмотр подробностей об уязвимостях аудита кода,Но он немного застрял в работе.

Нажмите на путь к файлу в прямоугольном поле в правом нижнем углу, чтобы напрямую просмотреть код Java. Checkmarx выделит код.

Checkmarx предоставляет здесь очень полезную функцию.,Красный прямоугольник представляет собой точку пересечения различных процессов, вызывающих веб-уязвимости. Также можно понимать, что лучшая точка исправления уязвимости указана в красном прямоугольнике. Уязвимость можно устранить из точки пересечения.,Затем необходимо устранить уязвимости внедрения SQL-кода вперед от точки пересечения.,Это значительно снижает нагрузку по устранению уязвимостей.

Как показано на рисунке ниже, если уязвимость в красном поле устранена, несколько процессов, вызывающих уязвимость, описанных выше, прерываются и будут исправлены.

Нажмите следующий значок, чтобы создать различные формы отчетов.

Вручную проверять различные типы уязвимостей, о которых необходимо сообщать.,Нажмите“Создать отчет”кнопка。

Окончательный сгенерированный отчет выглядит следующим образом. Как и в Fortify, отчет о проверке кода лучше написать самостоятельно.

Резюме части 5

1. Об использовании инструментов командной строки Checkmarx и методов вызова интерфейса API Checkmarx мы поговорим позже.

2. Для использования этих коммерческих инструментов аудита кода не забудьте внимательно прочитать руководство по эксплуатации.