Checkmarx SAST
CHECKMARX SAST: QUÉT DỄ DÀNG Ở CẤP MÃ NGUỒN
Kiểm tra bảo mật ứng dụng tĩnh (SAST) của Checkmarx cung cấp quét gia tăng hoặc quét toàn bộ nhanh chóng và chính xác, đồng thời mang đến cho bạn sự linh hoạt, chính xác, tích hợp và phạm vi bảo mật để bảo mật ứng dụng của bạn
Biến thể (Tùy chọn)
- Chu kỳ: 12 tháng
- Loại bản quyền: Thuê bao
- Tùy chọn mua hàng: Mua mới | Gia hạn
- Số lượng, đối tượng mua hàng, đóng gói..: xem tại thông số & cấp phép
*Sản phẩm này có thể có nhiều tùy chọn khác nhau. Vui lòng liên hệ PACISOFT để nhận báo giá chi tiết nhất.
-
Tổng quan
-
Tính năng
-
So sánh
-
Thông số
-
Cấp phép
-
Yêu cầu hệ thống
-
Download
SAST, viết tắt của Static Application Security Testing, liên quan đến việc phân tích mã nguồn của ứng dụng để tìm lỗ hổng bảo mật mà không cần thực thi mã. Mục tiêu chính của SAST là xác định các lỗ hổng bảo mật tiềm ẩn và lỗ hổng trong mã có thể dẫn đến vi phạm bảo mật. Cách tiếp cận này thường được sử dụng trong quy trình phát triển phần mềm để ngăn chặn các vấn đề bảo mật xuất hiện ngay từ đầu.
Tầm Quan Trọng Của Việc Có SAST Là Một Trong Những Thành Phần Của Chương Trình Bảo Mật Là Gì?
Điều quan trọng cần lưu ý là SAST chỉ là một thành phần của chương trình bảo mật toàn diện. Mặc dù SAST có thể giúp xác định các lỗ hổng tiềm ẩn trong mã nguồn của ứng dụng nhưng nó không thể phát hiện tất cả các loại sự cố bảo mật, chẳng hạn như các sự cố có thể phát sinh từ máy chủ được định cấu hình sai, kết nối mạng không an toàn hoặc lỗ hổng trong các thành phần phần mềm của bên thứ ba.
Một trong những lợi ích chính của SAST là nó có thể được tích hợp sớm vào quy trình phát triển phần mềm, cho phép các nhà phát triển giải quyết các vấn đề bảo mật trước khi chúng trở nên khó khắc phục và tốn kém hơn. Ngoài ra, SAST có thể giúp các tổ chức tuân thủ các quy định và tiêu chuẩn ngành liên quan đến bảo mật, chẳng hạn như Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS).
Tham khảo thêm
- Phần mềm bản quyền chính hãng, giá tốt có tại Pacisoft với hơn 10,000 sản phẩm
- Các phần mềm bảo mật trong các danh mục Web/ App Security
- Khám phá các sản phẩm các của Checkmarx
Những tính năng chính của SAST
Tìm sự cố AppSec sớm hơn mà không bị gián đoạn
Checkmarx SAST quét mã nguồn để phát hiện các vấn đề bảo mật ứng dụng càng sớm càng tốt trong vòng đời phát triển phần mềm của bạn. Bạn không cần phải xây dựng mã của mình trước—chỉ cần kiểm tra mã đó, bắt đầu quét và nhanh chóng nhận được kết quả bạn cần.
Dễ dàng mở rộng thử nghiệm bảo mật ứng dụng
Hỗ trợ hàng chục ngôn ngữ lập trình và khuôn khổ. Bạn có thể tin tưởng rằng SAST của chúng tôi sẽ hoạt động với bất kỳ mã nào mà các nhà phát triển mã đưa vào mà không yêu cầu cấu hình quét hoặc điều phối đặc biệt.
Tích hợp với các công cụ phát triển phần mềm mà bạn đang sử dụng
Checkmarx SAST tương thích với hầu hết mọi IDE chính thống, nền tảng quản lý mã nguồn (SCM), máy chủ CI, v.v.
Xác định các vấn đề bảo mật tại nguồn
Thêm chức năng quét bảo mật một cách liền mạch vào các quy trình phát triển hiện có bằng các plugin Checkmarx và tích hợp sẵn dùng. Bạn có thể dễ dàng khởi chạy quét bất kỳ lúc nào từ các công cụ đã được sử dụng trong khi viết mã.
Khắc phục các lỗ hổng với sự hướng dẫn của chuyên gia
Checkmarx SAST cung cấp các truy vấn có thể tùy chỉnh để giúp loại bỏ các thông tin xác thực sai và phân loại các lỗ hổng bảo mật dựa trên mức độ nghiêm trọng, để bạn biết vấn đề nào cần giải quyết trước.
Khắc phục các sự cố nhanh chónh
Hướng dẫn khắc phục và vị trí khắc phục tốt nhất đảm bảo bạn biết vị trí và cách giải quyết vấn đề bảo mật. Công cụ SAST của chúng tôi giúp bạn khắc phục các lỗi bảo mật một cách nhanh chóng và triển khai các bản phát hành phần mềm một cách nhanh chóng và liên tục.
Những lợi ích chính SAST
Phát hiện sớm các lỗ hổng bảo mật : SAST có thể giúp xác định sớm các lỗ hổng bảo mật trong mã nguồn của ứng dụng trong vòng đời phát triển phần mềm trước khi mã được triển khai. Điều này cho phép các tổ chức giải quyết các vấn đề bảo mật ở giai đoạn sớm hơn nhiều và tránh các chi phí cũng như thiệt hại về uy tín liên quan đến vi phạm bảo mật.
Chất lượng mã được cải thiện : SAST có thể giúp cải thiện chất lượng mã nguồn của ứng dụng bằng cách xác định các lỗi và lỗ hổng mã hóa phổ biến. Bằng cách khắc phục những vấn đề này, nhà phát triển có thể cải thiện chất lượng tổng thể của mã, làm cho mã ổn định và an toàn hơn.
Tuân thủ các tiêu chuẩn ngành : SAST có thể giúp các tổ chức tuân thủ các tiêu chuẩn ngành và quy định liên quan đến bảo mật, chẳng hạn như Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS). Việc tuân thủ các tiêu chuẩn này thường được yêu cầu đối với các tổ chức xử lý dữ liệu nhạy cảm, chẳng hạn như thông tin thẻ tín dụng.
Tiết kiệm chi phí : SAST có thể hỗ trợ tiết kiệm chi phí bằng cách xác định các lỗ hổng bảo mật trong giai đoạn phát triển ban đầu, điều này có thể làm giảm chi phí liên quan đến việc khắc phục các sự cố này. Chi phí khắc phục sự cố bảo mật tăng lên khi chúng di chuyển xa hơn trong quy trình phát triển, vì vậy việc phát hiện sớm có thể giúp tiết kiệm chi phí đáng kể.
Cải thiện tình trạng bảo mật : Bằng cách xác định và giải quyết các lỗ hổng bảo mật sớm trong quá trình phát triển, SAST có thể giúp cải thiện tình trạng bảo mật tổng thể của một tổ chức. Điều này có thể làm giảm nguy cơ vi phạm bảo mật, bảo vệ dữ liệu nhạy cảm và cải thiện lòng tin cũng như sự tin cậy của khách hàng đối với các sản phẩm và dịch vụ của tổ chức.
| SAST | IAST | DAST |
| White Box Security Testing
| Grey Box Security Testing
| Black Security Testing
|
| Early and Rapid
| Fast and Immediate
| Slow and Late
|
| Used Incrementally During the Development Stage
| Used Continuously During the Testing Stage
| Used as a Security Gatekeeper
|
| Scans Code
| Analyzes Running Application
| Attacks Running Application Injects input into external interfaces and observers external output |
| Covers all Code
| Covers all Functional Testing
| Covers Only Reflective Vulnerabilities Blind as to what is happening |
| Manufacturer/ Nhà sản xuất | Checkmarx |
| Header / Localization/ Khu vực kích hoạt | Toàn cầu |
| Category/ Danh mục sản phẩm | Phần mềm bảo mật |
| Part Number (P/N)/ Mã sản phẩm | - |
| Collections/ Dòng sản phẩm | - |
| Packaged Quantity/ Số lượng đóng gói | 1 cho đến nhiều, theo yêu cầu đặt hàng |
| Software / Version/ Phiên bản | Mới nhất |
| Language/ Ngôn ngữ | English/ đa ngôn ngữ |
| Distribution Media/ Đóng gói | - |
| Operating System/ Platform/ Nền tảng sử dụng | - |
| Product Type/ Loại sản phẩm | Subscription License |
| Software / License Type/ Loại giấy phép | New/ Renew/ Upgrade/ Extend/ Maintenance & Support |
| Length of term/ Thời hạn bản quyền | Thuê bao |
| License management/ Quản lý bản quyền | - |
| Customer secition/ Đối tượng khách hàng | Doanh nghiệp |
| Advanced version/ Phiên bản cao cấp hơn | |
| Comparison/ So sánh sản phẩm | Xem mô tả so sánh hoặc tài liệu đính kèm |
| Service & Support Basic/ Dịch vụ và hỗ trợ cơ bản | |
| Service & Support Advance/ Dịch vụ và hỗ trợ nâng cao | Tư vấn hệ thống/ Triển khai cài đặt/ Hỗ trợ 1 năm/ Đào tạo sử dụng |
| How to buy/ Mua như thế nào? | Ký hợp đồng và PACISOFT giao trong 1-7 ngày làm việc (cam kết nhanh nhất Việt Nam) |
| Tax & handling fee/ Thuế VAT & phí xử lý | Phần mềm & dịch vụ phần mềm được miễn thuế VAT. |
| Thuế, phí khác có thể được áp dụng tại thời điểm mua hàng theo quy định của NN. |
| Product Description | License Types (defined below) |
| Cx-User (under Cx-Volume Users); Cx-SG-User; Cx-SDLC-User | Named User |
| Cx-Server (also called CxManager) | Node Locked |
| Cx-ConcurrentScans | Concurrent Engine Unit |
| Cx-Project | Project Based |
| Cx-Auditor | Named User |
| Cx-Integration | Integration License |
Các loại giấy phép:
- “Node Locked” có nghĩa là Phần mềm được cấp phép để cài đặt, chạy và sử dụng trên một máy tính.
- "Named User" có nghĩa là giấy phép được gắn với một người dùng được đặt tên cụ thể để giấy phép chỉ có thể được sử dụng bởi người dùng được đặt tên đó.
- Giấy phép “Project Based” cho phép quét một dự an có tên duy nhất trong thời hạn của giấy phép, trong đó thuật ngữ “Project” được định nghĩa là một cơ sở mã duy nhất được duy trì theo thời gian và được sử dụng để xây dựng một ứng dụng hoặc mô-đun phần mềm có tên cụ thể.
- “Integration License” có nghĩa là phần tích hợp đã mua có thể được sử dụng trong thời hạn của bất kỳ giấy phép Phần mềm đang hoạt động nào mà Khách hàng đã mua.
- “Concurrent Engine Unit” có nghĩa là số lần quét có thể được thực hiện song song bằng Phần mềm tại bất kỳ thời điểm nào.
Hạn chế giấy phép bổ sung:
Người dùng: (i) sử dụng một trong các giao diện người dùng của Phần mềm (nghĩa là thông qua giao diện người dùng, plugin IDE, v.v.) hoặc (ii) sử dụng đầu ra của các lần quét (thông qua API, hệ thống bán vé, báo cáo PDF, hoặc bất kỳ hình thức nào khác không yêu cầu quyền truy cập trực tiếp vào Phần mềm) nhằm mục đích theo dõi, giải quyết hoặc khắc phục các lỗ hổng do Phần mềm phát hiện, phải được cung cấp dưới dạng Người dùng được đặt tên.
Khách hàng không được: (1) cung cấp quyền truy cập vào Phần mềm cho bất kỳ cá nhân nào không có Giấy phép Người dùng Được đặt tên hợp lệ; hoặc (2) phân phối đầu ra do Phần mềm tạo ra vi phạm các hạn chế của Người dùng được đặt tên nêu trên; tuy nhiên, việc xem xét tóm tắt báo cáo: (a) bởi nhân viên quản lý của Khách hàng hoặc (b) vì mục đích kiểm tra, sẽ không được coi là sử dụng giấy phép Người dùng được đặt tên khi những người dùng đó không truy cập Phần mềm hoặc sử dụng tóm tắt báo cáo để khắc phục các lỗ hổng được phát hiện bởi Phần mềm.
Quyền chuyển nhượng giấy phép:
- Khách hàng có thể chuyển nhượng giấy phép Người dùng được đặt tên khi Người dùng được đặt tên hiện có từ chức, bị chấm dứt hoặc vĩnh viễn không còn yêu cầu quyền truy cập vào Phần mềm. Việc chuyển giao đó được thực hiện khi Khách hàng nhanh chóng thu hồi thông tin đăng nhập của cá nhân không còn là Người dùng được đặt tên được ủy quyền và xác thực hợp lệ cá nhân là Người dùng được đặt tên được ủy quyền thay thế.
- Khách hàng có thể chuyển giấy phép phần mềm Node Lock sang một máy khác với số lần hợp lý bằng cách: (a) gửi yêu cầu chuyển giấy phép bằng văn bản cho Bên cấp phép; (b) lấy khóa cấp phép mới (HID) từ Bên cấp phép, khóa này được yêu cầu để kích hoạt phần mềm trên máy mới; và (c) nhanh chóng xóa phần mềm đã cài đặt trước đó khi chuyển phần mềm sang máy mới.
- Bên cấp phép bảo lưu quyền hạn chế chuyển nhượng giấy phép nếu hoạt động đó quá mức hoặc cấu thành sự lạm dụng, như được xác định bởi Bên cấp phép theo quyết định hợp lý của mình.
Các loại và hạn chế của giấy phép CxIAST
| Mô tả Sản phẩm | Các loại giấy phép (được định nghĩa bên dưới) |
| Ứng dụng Cx-IAST | Application Based |
Giấy phép “Application Based” có nghĩa là Phần mềm được cấp phép có thể được sử dụng để quét một Ứng dụng duy nhất trong thời hạn của giấy phép, trong đó thuật ngữ “ Ứng dụng ” được định nghĩa là một thành phần thực thi duy nhất của ứng dụng phần mềm. Những điều sau đây được coi là một Ứng dụng duy nhất cho các mục đích cấp phép: (a) nhiều bản sao giống hệt nhau của một tệp thực thi duy nhất trên các phiên bản khác nhau; và (b) nhiều phiên bản của cùng một Ứng dụng.
Quyền chuyển nhượng giấy phép của Thành phần máy chủ của CxIAST:
- Thành phần máy chủ của Phần mềm CxIAST là Nút bị khóa. Khách hàng có thể chuyển giấy phép phần mềm Node Lock sang một máy khác với số lần hợp lý bằng cách: (a) gửi yêu cầu chuyển giấy phép bằng văn bản cho Bên cấp phép; (b) lấy khóa cấp phép mới từ Bên cấp phép, khóa này được yêu cầu để kích hoạt phần mềm trên máy mới; và (c) nhanh chóng xóa phần mềm đã cài đặt trước đó khi chuyển phần mềm sang máy mới.
- Bên cấp phép bảo lưu quyền hạn chế chuyển nhượng giấy phép nếu hoạt động đó quá mức hoặc cấu thành sự lạm dụng, như được xác định bởi Bên cấp phép theo quyết định hợp lý của mình.
Yêu cầu máy chủ lưu trữ
| Purpose | Lines of Code | Installed RAM** | Cores | CPU Speed | Disk | Web Server | Other Software |
|---|---|---|---|---|---|---|---|
| Centralized (POC) | 200K | 8 GB | 6-8 | 2.8 GHz | 80 GB (recommended) | IIS 7/7.5/8/8.5/10 | Windows Installer 3.1 or above Run msiexec to check .NET Framework 4.7.1 An environment (either Centralized or Distributed) where CxManager and CxEngine are on the same server requires .NET Core 6.x Runtime & Hosting installed on the server. For a Distributed environment where the CxManager is on one server and the CxEngines are on dedicated servers:
– the CxEngines servers require .NET Core 6.x (this information mainly concerns Windows CxEngines and bare-metal Linux CxEngines, because Linux CxEngines using Docker are already set up) Java 1.17 (Oracle or AdoptOpenJdk). C++ Redist 2010 and 2015 SP3 MS SQL Driver Required Prerequisites for Installing CxSAST in a Distributed Environment. Active MQ : 5.17.1 |
| 500K | 16 GB | ||||||
| Centralized (Production) | 200K | 10 GB | Minimum: 8 for 1 concurrent scan. Additional 2 cores for each additional concurrent scan, up to a maximum of 12 cores, (Recommended: 4, 6, or 8 cores ) Max recommended concurrent scans: 3* * Scans of 1M LOC or more are recommended to limit concurrency or run on their own distributed server. | 2.8 GHz | 250 GB (recommended) | IIS 7/7.5/8/8.5/10 | |
| 600K | 16 GB | ||||||
| 1.2M | 24 GB | 2.8 GHz | |||||
| 2M | 40 GB | ||||||
| 3M | 56 GB | ||||||
| 4M | 72 GB | ||||||
| Distributed - CxEngine (Production) For multiple CxEngine servers (for concurrent scans), each server should meet the requirements. | 200K | 6 GB | 4 (for 1 concurrent scan) Additional 2 cores for each additional concurrent scan (Recommended: 4, 6, or 8 cores) Recommended socket configuration: Single socket | Recommended: 2.8 GHz | 100 GB (recommended) | NA | |
| 600K | 12 GB | ||||||
| 1.2M | 20 GB | Recommended: 2.8 GHz | |||||
| 2M | 32 GB | ||||||
| 3M | 48 GB | ||||||
| 4.5M | 72 GB | ||||||
| Distributed - CxManager with Management & Orchestration Layer (Production) | 14 GB | 8 | 2.5 GHz | 250 GB (recommended) | IIS 7/7.5/8/8.5/10 | ||
| Distributed - CxManager without Management & Orchestration Layer (Production) or Web Portal (apart of CxManager) | 10 GB | 4 | 2.5 GHz | 250 GB (recommended) | IIS 7/7.5/8/8.5/10 | ||
| Distributed - ActiveMQ (Production) | 8 GB | 4 | 2.5 GHz | 250 GB (recommended) | Apache Tomcat 8.5.81 | ||
| Distributed - Database (Production) | 12 GB | 6-8 | 2.5 GHz | 350-400 GB (recommended) | NA | MS SQL Server (Express not recommended) 2012/2014/2016/2017/2019 MSSQL 2019 is supported on CxSAST 9.3 and up |
Các thành phần và hệ điều hành được hỗ trợ
| perating Systems | CxSAST | CxSAST Engine | CxOSA | Access Control | Management & Orchestration |
|---|---|---|---|---|---|
| Windows (64-bit) 10 | V | V | V | ||
| Windows (64-bit) 11 | V | V | V | ||
| Windows Server 2012 | V | V | V | ||
| Windows Server 2012R2 | V | V | V | ||
| Windows Server 2016 | V | V | V | ||
| Windows Server 2019 | V | V | V | ||
| Windows Server 2022 | V | V | V | ||
| Linux CentOS 7 | V | ||||
| Linux CentOS 8 | V | ||||
| Linux Ubuntu 18.04 | V | ||||
| Linux Ubuntu 20.04 | V | ||||
| Linux RedHat 8.3 | V | ||||
| Linux Fedora 33 | V | ||||
| Linux Fedora 34 | V | ||||
| Java Version | CxSAST | CxOSA | Access Control | Management & Orchestration |
|---|---|---|---|---|
| Java 17 | V | V | V |
Note: If SAST 9.5 is uninstalled and SAST 9.4. is reinstalled, it is necessary to manually downgrade Java back to version 8, because 9.4 is not compatible with JAVA 17 (even though the 9.4 installation wizard indicates that it completed successfully).
| Frameworks | CxSAST & CxSAST Engine | CxOSA | Access Control | Management & Orchestration |
|---|---|---|---|---|
| Microsoft .NET Core 6.0.5 Runtime & Hosting | V | |||
| WebServer | CxSAST | CxOSA | Access Control | Management & Orchestration |
|---|---|---|---|---|
| IIS 7.5-10 | V | |||
Supported Browsers
| Browsers | CxSAST | CxOSA | Access Control | Management & Orchestration | Codebashing |
|---|---|---|---|---|---|
| Chrome | Latest | Latest | |||
| Edge | Latest | Latest | |||
| Safari | Latest | Latest | |||
| Firefox | Latest | Latest | |||
Supported SQL Servers
The following SQL servers have been tested with CxSAST v9.3.0:
| SQL Server | CxSAST | Access Control | Management and Orchestration |
|---|---|---|---|
| 2012 | V | ||
| 2012R2 | V | ||
| 2014 | V | ||
| 2016 | V | ||
| 2017 | V | ||
| 2019 | V | ||
Yêu cầu bản demo với đầy đủ các tính năng bản quyền ngay hôm nay.
Download dùng thử miễn phí, TẠI ĐÂY
*Liên hệ Pacisoft để được hỗ trợ nhanh chóng nhất.
