Checkmarx IAST

Thương hiệu: CHECKMARX | Mã sản phẩm: CMIAST

Phát hiện các lỗ hổng và rủi ro thời gian chạy trong quá trình thử nghiệm chức năng. Tối ưu hóa thử nghiệm thời gian chạy của bạn với Checkmarx IAST, giải pháp được xây dựng riêng cho DevOps và quy trình tự động hóa QA hoặc CI/CD của bạn. Checkmarx IAST phù hợp trực tiếp với giai đoạn Kiểm tra/Đảm bảo chất lượng của bạn, tự động phân tích thông qua các quy trình kiểm tra chức năng hiện có của bạn.

Biến thể (Tùy chọn) 

  • Chu kỳ: 12 tháng
  • Loại bản quyền: Thuê bao
  • Tùy chọn mua hàng: Mua mới | Gia hạn
  • Số lượng, đối tượng mua hàng, đóng gói..: xem tại thông số & cấp phép 

*Sản phẩm này có thể có nhiều tùy chọn khác nhau. Vui lòng liên hệ PACISOFT để nhận báo giá chi tiết nhất. 

Checkmarx IAST là một giải pháp kiểm tra bảo mật năng động và liên tục giúp phát hiện các lỗ hổng trên hệ thống đang chạy. ứng dụng bằng cách tận dụng các hoạt động thử nghiệm chức năng hiện có. IAST của chúng tôi được thiết kế đặc biệt để phù hợp với Agile, DevOps, và quy trình CI/CD. Không giống như các giải pháp Kiểm tra bảo mật ứng dụng động (DAST) cũ, IAST của chúng tôi không đưa ra bất kỳ sự chậm trễ nào đối với vòng đời phát triển phần mềm (SDLC).

Checkmarx IAST phân tích hành vi thời gian chạy thực tế của ứng dụng, bao gồm đầu vào, luồng dữ liệu và tương tác với các hệ thống bên ngoài. Nó kết hợp các kỹ thuật phân tích động với thiết bị thông minh để xác định các lỗ hổng bảo mật, chẳng hạn như chèn mã, chèn SQL, tạo tập lệnh chéo trang (XSS),...

  • Với việc triển khai linh hoạt, không cần thời gian quét và tùy chỉnh đơn giản, Checkmarx IAST cho phép bạn dễ dàng phát hiện các lỗ hổng trong khi kiểm tra mã tùy chỉnh, thư viện, khung, API, tệp cấu hình và luồng dữ liệu thời gian chạy.
  • Tích hợp kiểm thử thời gian chạy một cách rõ ràng vào các quy trình hiện có của bạn. Tác nhân nhẹ của chúng tôi phát hiện và định vị các vấn đề liên quan đến đầu vào, tăng độ chính xác và độ tin cậy. Và khi quá trình kiểm tra chức năng kết thúc, quá trình “quét” bảo mật của bạn cũng kết thúc.

Tham khảo thêm

 

Giá trị độc nhất của Checkmarx IAST

  • Bảo mật API: Khám phá, sử dụng, phân loại API, ủy quyền và tài liệu cho mã tùy chỉnh, thư viện và framework.
  • Luồng dịch vụ: Hỗ trợ dựa trên vi dịch vụ các ứng dụng. Checkmarx IAST trình bày, trong thời gian chạy, luồng dịch vụ của các ứng dụng microservice bao gồm khả năng đi sâu và khám phá các lỗ hổng xuyên suốt các microservice.
  • Dễ tùy chỉnh: IAST của chúng tôi là IAST duy nhất trong ngành để cung cấp khả năng tạo truy vấn tùy chỉnh và điều chỉnh cho kết quả tối ưu.
  • Định hướng cho nhà phát triển: Không giống như các giải pháp IAST khác, IAST của chúng tôi làm nổi bật mã nguồn đầy đủ của tiềm năng lỗ hổng để giúp các nhà phát triển nhanh chóng khắc phục vấn đề.
  • Thời gian Zero-Scan: Tận dụng mọi thử nghiệm chức năng, loại bỏ sự cần thiết phải kiểm tra bảo mật riêng biệt.
  • Phản hồi theo thời gian thực: Cung cấp kết quả ngay lập tức khi phát hiện.
  • Phân tích toàn bộ ứng dụng: Kiểm tra tùy chỉnh mã, thư viện, khung, tệp cấu hình và luồng dữ liệu thời gian chạy.
  • Tùy chọn triển khai linh hoạt: Tại chỗ riêng tư trung tâm dữ liệu (trình cài đặt truyền thống hoặc dockerized) hoặc được lưu trữ trong một đối tượng thuê riêng trong AWS.
  • Tích hợp Checkmarx SCA: Tích hợp IAST của chúng tôi trơn tru với Checkmarx SCA, tự động kích hoạt quét SCA và hiển thị bên thứ 3 các lỗ hổng khi chạy quét IAST.

Một số tính năng chính của Checkmarx IAST bao gồm:

  • Phát hiện lỗ hổng thời gian thực: Checkmarx IAST cung cấp khả năng giám sát và phân tích liên tục hành vi thời gian chạy của ứng dụng, cho phép phát hiện các lỗ hổng bảo mật khi chúng xuất hiện. Nó cung cấp phản hồi thời gian thực cho các nhà phát triển, cho phép họ giải quyết các vấn đề kịp thời.

  • Công cụ thông minh: Checkmarx IAST sử dụng các kỹ thuật công cụ thông minh để phân tích hành vi thời gian chạy của ứng dụng, bao gồm đầu vào, luồng dữ liệu và tương tác với các hệ thống bên ngoài. Cách tiếp cận này cho phép xác định các lỗ hổng bảo mật, chẳng hạn như chèn mã, chèn SQL, tập lệnh chéo trang (XSS), v.v.

  • Kết quả chính xác: Bằng cách phân tích hành vi thời gian chạy thực tế của ứng dụng, Checkmarx IAST giảm các kết quả dương tính giả và cung cấp kết quả chính xác hơn so với phân tích tĩnh hoặc các phương pháp thử nghiệm truyền thống. Điều này giúp các nhà phát triển tập trung vào các vấn đề bảo mật thực sự và tránh lãng phí thời gian vào các cảnh báo sai.

  • Tích hợp liền mạch: Checkmarx IAST tích hợp liền mạch vào các môi trường phát triển, khung và ngôn ngữ lập trình khác nhau. Nó hỗ trợ cả ứng dụng hiện đại và kế thừa, cho phép dễ dàng áp dụng và tích hợp vào các quy trình công việc hiện có.

  • Cách tiếp cận thân thiện với nhà phát triển: Checkmarx IAST cung cấp thông tin chuyên sâu hữu ích và thông tin chi tiết về các lỗ hổng được phát hiện. Nó cung cấp cho nhà phát triển khả năng phân tích nguyên nhân gốc rễ, chi tiết ở cấp độ mã và các đề xuất khắc phục, cho phép họ hiểu và giải quyết các vấn đề bảo mật một cách hiệu quả.

  • Thử nghiệm liên tục và tích hợp CI/CD: Checkmarx IAST có thể được tích hợp vào các đường ống tích hợp liên tục/triển khai liên tục (CI/CD), cho phép thử nghiệm bảo mật trong suốt quá trình phát triển. Nó tạo điều kiện thuận lợi cho việc áp dụng các thực hành DevSecOps bằng cách tích hợp bảo mật liền mạch vào quy trình phát triển.

  • Khả năng tương thích và phạm vi bảo hiểm: Checkmarx IAST tương thích với nhiều môi trường phát triển, khuôn khổ và ngôn ngữ lập trình. Nó cung cấp phạm vi bảo hiểm cho cả ứng dụng web và di động, đảm bảo kiểm tra bảo mật toàn diện trên các nền tảng khác nhau.

SAST IAST DAST

White Box Security Testing

  • Application is tested from  the inside
  • Developer approach testing

Grey Box Security Testing

  • Application is tested from the inside out and outside in
  • QA approach testing 

Black Security Testing

  • Application is tested from the outside in
  • Hacker approach testing

Early and Rapid

  • Vulnerabilities found early in the SDLC, making  remediation faster and easier
  • Code-level guidance is  provided on where to fix  vulnerabilities in source code

Fast and Immediate

  • Quickly identify a broader range of runtime vulnerabilities providing  insight down to the line of code that should be fixed
  • Provides real-time results, supporting DevSecOps and CI/CD processes

Slow and Late

  • Can’t effectively achieve the fast turnaround times required for integration into CI/CD workflows
  • Offers no code guidance as to where to fix the vulnerability

Used Incrementally During the Development Stage

  • Runs incrementally only on new or modified code
  • Integrates with IDEs, build management servers, bug tracking tools and source repositories

Used Continuously During the Testing Stage

  • Runs continuously in parallel with functional testing
  • Integrates with any existing functional testing processes, whether manual or automated

Used as a Security Gatekeeper

  • Requires dedicated security testing and environment
  • Heavy reliance on experts to write tests, making it difficult to scale

Scans Code

  • Scans code or binary without executing the application 
  • Doesn’t require a deployed application

Analyzes Running Application

  • Integrates into the existing development and testing cycle
  • Doesn’t require code or binaries

Attacks Running Application

Injects input into external interfaces and observers external output 

Covers all Code

  • Covers all in-house written code
  • Does not cover 3rd party modules

Covers all Functional Testing

  • Covers runtime vulnerabilities
  • Covers 3rd party modules

Covers Only Reflective Vulnerabilities

Blind as to what is happening
 inside an application

Manufacturer/ Nhà sản xuất Checkmarx
Header / LocalizationKhu vực kích hoạt Toàn cầu
CategoryDanh mục sản phẩm Phần mềm bảo mật
Part Number (P/N)Mã sản phẩm -
CollectionsDòng sản phẩm -
Packaged QuantitySố lượng đóng gói 1 cho đến nhiều, theo yêu cầu đặt hàng
Software / VersionPhiên bản Mới nhất
LanguageNgôn ngữ English/ đa ngôn ngữ
Distribution MediaĐóng gói -
Operating System/ PlatformNền tảng sử dụng -
Product TypeLoại sản phẩm Subscription License
Software / License TypeLoại giấy phép New/ Renew/ Upgrade/ Extend/ Maintenance & Support 
Length of termThời hạn bản quyền Thuê bao
License management/ Quản lý bản quyền -
Customer secitionĐối tượng khách hàng Doanh nghiệp
Advanced version/ Phiên bản cao cấp hơn  
ComparisonSo sánh sản phẩm Xem mô tả so sánh hoặc tài liệu đính kèm
Service & Support Basic/ Dịch vụ và hỗ trợ cơ bản  
Service & Support AdvanceDịch vụ và hỗ trợ nâng cao Tư vấn hệ thống/ Triển khai cài đặt/ Hỗ trợ 1 năm/ Đào tạo sử dụng
How to buyMua như thế nào? Ký hợp đồng và PACISOFT giao trong 1-7 ngày làm việc (cam kết nhanh nhất Việt Nam)
Tax & handling feeThuế VAT & phí xử lý Phần mềm & dịch vụ phần mềm được miễn thuế VAT. 
Thuế, phí khác có thể được áp dụng tại thời điểm mua hàng theo quy định của NN.

Các loại và hạn chế của giấy phép IAST

Product Description

License Types (defined below)

IAST Application

Application Based

Các loại giấy phép

Giấy phép “Application Based” có nghĩa là Phần mềm được cấp phép có thể được sử dụng để quét một Ứng dụng duy nhất trong thời hạn của giấy phép, trong đó thuật ngữ “Application” được định nghĩa là một thành phần thực thi duy nhất của ứng dụng phần mềm. Những điều sau đây được coi là một Ứng dụng duy nhất cho các mục đích cấp phép: (a) nhiều bản sao giống hệt nhau của một tệp thực thi duy nhất trên các phiên bản khác nhau; và (b) nhiều phiên bản của cùng một Ứng dụng.

Quyền chuyển nhượng giấy phép của Thành phần máy chủ của IAST

  1. Thành phần máy chủ của Phần mềm IAST là Nút bị khóa. Khách hàng có thể chuyển giấy phép phần mềm Node Lock sang một máy khác với số lần hợp lý bằng cách: (a) gửi yêu cầu chuyển giấy phép bằng văn bản cho Bên cấp phép; (b) lấy khóa cấp phép mới từ Bên cấp phép, khóa này được yêu cầu để kích hoạt phần mềm trên máy mới; và (c) nhanh chóng xóa phần mềm đã cài đặt trước đó khi chuyển phần mềm sang máy mới.

  2. Bên cấp phép bảo lưu quyền hạn chế chuyển nhượng giấy phép nếu hoạt động đó quá mức hoặc cấu thành sự lạm dụng, như được xác định bởi Bên cấp phép theo quyết định hợp lý của mình.

Requirements

The following prerequisites are required for the host that acommodates the CxIAST Server:

 

Server Host

RAM

Cores / CPU

Disk Space

Application Server

Operating System

Additional Software

IAST Management Server

16 GB

4-core, 2.8 GHz

100 GB

Refer to Configuring the AUT Environment

  • Windows 10 (latest version)

  • Windows Server 2012 or higher

  • Linux (any official Linux distribution)

  • Open JDK 1.8 64-bit or Oracle JDK 1.8 64-bit or Oracle JDK 11 64-bit

  • .NET Core 3.1 to 6.0

  • MS SQL 2012 or higher

Yêu cầu bản demo với đầy đủ các tính năng bản quyền ngay hôm nay. 

Download dùng thử miễn phí, TẠI ĐÂY 

*Liên hệ Pacisoft để được hỗ trợ nhanh chóng nhất.