Checkmarx SCA
Checkmarx SCA (Phân tích thành phần phần mềm) là một thành phần của nền tảng Kiểm tra bảo mật ứng dụng Checkmarx (AST) tập trung vào việc xác định và quản lý các thành phần nguồn mở và các thành phần phụ thuộc được sử dụng trong các ứng dụng phần mềm. SCA giúp các tổ chức giảm thiểu rủi ro liên quan đến các thư viện nguồn mở dễ bị tổn thương hoặc lỗi thời bằng cách cung cấp khả năng hiển thị thành phần phần mềm của họ và cảnh báo họ về các lỗ hổng bảo mật tiềm ẩn.
Biến thể (Tùy chọn)
- Chu kỳ: 12 tháng
- Loại bản quyền: Thuê bao
- Tùy chọn mua hàng: Mua mới | Gia hạn
- Số lượng, đối tượng mua hàng, đóng gói..: xem tại thông số & cấp phép
*Sản phẩm này có thể có nhiều tùy chọn khác nhau. Vui lòng liên hệ PACISOFT để nhận báo giá chi tiết nhất.
-
Tổng quan
-
Tính năng
-
Thông số
-
Cấp phép
-
Yêu cầu hệ thống
-
Download
Checkmarx SCA là giải pháp Phân tích Thành phần Phần mềm (SCA) độc quyền của chúng tôi để phát hiện rủi ro liên quan đến các thành phần phụ thuộc nguồn mở của bạn. Checkmarx SCA là một giải pháp SaaS gốc trên đám mây cho phép bạn dễ dàng xác định, ưu tiên và khắc phục rủi ro do các gói nguồn mở của bạn gây ra. Những rủi ro này có thể bao gồm các lỗ hổng bảo mật, yêu cầu giấy phép và các gói mã nguồn mở lỗi thời. Checkmarx SCA giải quyết tất cả các vấn đề này, cung cấp thông tin chi tiết có độ chính xác cao, phù hợp và có thể hành động.
Cung cấp một cổng web (UI) thuận tiện, giúp dễ dàng tạo dự án, chạy quét và xem kết quả. Chúng tôi cũng cung cấp API (REST), công cụ CLI và plugin chuyên dụng, cho phép bạn tích hợp liền mạch các biện pháp bảo mật nguồn mở vào vòng đời phát triển phần mềm (SDLC) của mình.
Checkmarx SCA sử dụng các phương pháp sau để xác định gói bên thứ 3 trong dự án của bạn:
- Phân tích tệp – Checkmarx SCA xác định tất cả các tệp trong dự án của bạn có thể là một phần của gói bên thứ 3 và phân tích chúng để xác định gói nào đang được sử dụng. Điều này được thực hiện bằng cách so sánh hàm băm và siêu dữ liệu của các tệp có liên quan (ví dụ: tệp .jar cho Java, tệp .js cho JS) trong dự án được quét với hàm băm và siêu dữ liệu của các gói được lập danh mục trong cơ sở dữ liệu của chúng tôi.
Phân tích tệp được thực hiện cho các ngôn ngữ/khung được hỗ trợ được liệt kê bên dưới, sử dụng các loại tệp tương ứng được chỉ định trong bảng. - Giải quyết phụ thuộc - Checkmarx SCA sử dụng các trình quản lý gói để giải quyết các phụ thuộc đối với các kho lưu trữ công khai hoặc do khách hàng xác định và trích xuất các cây phụ thuộc.
Giải pháp phụ thuộc được thực hiện bằng cách sử dụng các trình quản lý gói được hỗ trợ được liệt kê bên dưới và các tệp kê khai tương ứng được chỉ định trong bảng.
Tham khảo thêm
- Phần mềm bản quyền chính hãng, giá tốt có tại Pacisoft với hơn 10,000 sản phẩm
- Các phần mềm bảo mật trong các danh mục Web/ App Security
- Khám phá các sản phẩm các của Checkmarx
Khám phá các phụ thuộc bị xâm phạm
Tìm các gói nguồn mở dễ bị tổn thương trong mã của bạn và nhận hướng dẫn khắc phục để bạn có thể nhanh chóng giảm rủi ro nguồn mở của mình.
Dễ dàng mở rộng quy mô và bảo mật mã nguồn mở của bạn
SCA của chúng tôi cho phép bạn tránh các sự cố bảo mật trong mã nguồn mở, giúp các nhà phát triển của bạn tự do mở rộng quy mô nỗ lực sản xuất của họ.
Hiểu chuỗi cung ứng phần mềm của bạn
Chỉ riêng GitHub đã lưu trữ hơn 100 triệu kho lưu trữ. Ngừng theo dõi thủ công các phụ thuộc nguồn mở của bạn bằng bảng tính và bắt đầu theo dõi chúng tự động.
Xác định các vấn đề bảo mật tại nguồn
Với SCA của chúng tôi, bạn có thể xác định mã của bên thứ ba mà bạn đang sử dụng, mã đó tồn tại ở đâu trong bối cảnh phát triển của bạn và liệu mã đó có dễ bị tổn thương hay an toàn với hóa đơn nguyên liệu phần mềm tự động (SBOM) của chúng tôi hay không.
Quản lý rủi ro giấy phép nguồn mở
Bất chấp niềm tin phổ biến, nguồn mở không nhất thiết phải miễn phí. Các vi phạm cấp phép bị cáo buộc có thể khiến các doanh nghiệp trở thành mục tiêu của các vụ kiện lớn.
Luôn cập nhật quản lý giấy phép
SCA của chúng tôi giúp bạn tránh những rủi ro này bằng cách xác định giấy phép nào áp dụng cho mã nguồn mở mà bạn đang sử dụng trong khi đảm bảo ghi công của bạn là chính xác.
| Manufacturer/ Nhà sản xuất | Checkmarx |
| Header / Localization/ Khu vực kích hoạt | Toàn cầu |
| Category/ Danh mục sản phẩm | Phần mềm bảo mật |
| Part Number (P/N)/ Mã sản phẩm | - |
| Collections/ Dòng sản phẩm | - |
| Packaged Quantity/ Số lượng đóng gói | 1 cho đến nhiều, theo yêu cầu đặt hàng |
| Software / Version/ Phiên bản | Mới nhất |
| Language/ Ngôn ngữ | English/ đa ngôn ngữ |
| Distribution Media/ Đóng gói | - |
| Operating System/ Platform/ Nền tảng sử dụng | - |
| Product Type/ Loại sản phẩm | Subscription License |
| Software / License Type/ Loại giấy phép | New/ Renew/ Upgrade/ Extend/ Maintenance & Support |
| Length of term/ Thời hạn bản quyền | Thuê bao |
| License management/ Quản lý bản quyền | - |
| Customer secition/ Đối tượng khách hàng | Doanh nghiệp |
| Advanced version/ Phiên bản cao cấp hơn | |
| Comparison/ So sánh sản phẩm | Xem mô tả so sánh hoặc tài liệu đính kèm |
| Service & Support Basic/ Dịch vụ và hỗ trợ cơ bản | |
| Service & Support Advance/ Dịch vụ và hỗ trợ nâng cao | Tư vấn hệ thống/ Triển khai cài đặt/ Hỗ trợ 1 năm/ Đào tạo sử dụng |
| How to buy/ Mua như thế nào? | Ký hợp đồng và PACISOFT giao trong 1-7 ngày làm việc (cam kết nhanh nhất Việt Nam) |
| Tax & handling fee/ Thuế VAT & phí xử lý | Phần mềm & dịch vụ phần mềm được miễn thuế VAT. |
| Thuế, phí khác có thể được áp dụng tại thời điểm mua hàng theo quy định của NN. |
Các loại giấy phép:
- “Node Locked” có nghĩa là Phần mềm được cấp phép để cài đặt, chạy và sử dụng trên một máy tính.
- "Named User" có nghĩa là giấy phép được gắn với một người dùng được đặt tên cụ thể để giấy phép chỉ có thể được sử dụng bởi người dùng được đặt tên đó.
- Giấy phép “Project Based” cho phép quét một dự an có tên duy nhất trong thời hạn của giấy phép, trong đó thuật ngữ “Project” được định nghĩa là một cơ sở mã duy nhất được duy trì theo thời gian và được sử dụng để xây dựng một ứng dụng hoặc mô-đun phần mềm có tên cụ thể.
- “Integration License” có nghĩa là phần tích hợp đã mua có thể được sử dụng trong thời hạn của bất kỳ giấy phép Phần mềm đang hoạt động nào mà Khách hàng đã mua.
- “Concurrent Engine Unit” có nghĩa là số lần quét có thể được thực hiện song song bằng Phần mềm tại bất kỳ thời điểm nào.
Hạn chế giấy phép bổ sung:
Người dùng: (i) sử dụng một trong các giao diện người dùng của Phần mềm (nghĩa là thông qua giao diện người dùng, plugin IDE, v.v.) hoặc (ii) sử dụng đầu ra của các lần quét (thông qua API, hệ thống bán vé, báo cáo PDF, hoặc bất kỳ hình thức nào khác không yêu cầu quyền truy cập trực tiếp vào Phần mềm) nhằm mục đích theo dõi, giải quyết hoặc khắc phục các lỗ hổng do Phần mềm phát hiện, phải được cung cấp dưới dạng Người dùng được đặt tên.
Khách hàng không được: (1) cung cấp quyền truy cập vào Phần mềm cho bất kỳ cá nhân nào không có Giấy phép Người dùng Được đặt tên hợp lệ; hoặc (2) phân phối đầu ra do Phần mềm tạo ra vi phạm các hạn chế của Người dùng được đặt tên nêu trên; tuy nhiên, việc xem xét tóm tắt báo cáo: (a) bởi nhân viên quản lý của Khách hàng hoặc (b) vì mục đích kiểm tra, sẽ không được coi là sử dụng giấy phép Người dùng được đặt tên khi những người dùng đó không truy cập Phần mềm hoặc sử dụng tóm tắt báo cáo để khắc phục các lỗ hổng được phát hiện bởi Phần mềm.
Quyền chuyển nhượng giấy phép:
- Khách hàng có thể chuyển nhượng giấy phép Người dùng được đặt tên khi Người dùng được đặt tên hiện có từ chức, bị chấm dứt hoặc vĩnh viễn không còn yêu cầu quyền truy cập vào Phần mềm. Việc chuyển giao đó được thực hiện khi Khách hàng nhanh chóng thu hồi thông tin đăng nhập của cá nhân không còn là Người dùng được đặt tên được ủy quyền và xác thực hợp lệ cá nhân là Người dùng được đặt tên được ủy quyền thay thế.
- Khách hàng có thể chuyển giấy phép phần mềm Node Lock sang một máy khác với số lần hợp lý bằng cách: (a) gửi yêu cầu chuyển giấy phép bằng văn bản cho Bên cấp phép; (b) lấy khóa cấp phép mới (HID) từ Bên cấp phép, khóa này được yêu cầu để kích hoạt phần mềm trên máy mới; và (c) nhanh chóng xóa phần mềm đã cài đặt trước đó khi chuyển phần mềm sang máy mới.
- Bên cấp phép bảo lưu quyền hạn chế chuyển nhượng giấy phép nếu hoạt động đó quá mức hoặc cấu thành sự lạm dụng, như được xác định bởi Bên cấp phép theo quyết định hợp lý của mình.
Supported Languages and Package Managers: Java, NodeJS, .NET, Python, PHP, iOS, Go, Ruby, C++, Unity
Container Scans
Checkmarx SCA is capable of scanning Dockerfiles and container images as long as they are hosted in supported registries and they are used in supported ecosystems.
Supported Registries
Container scans run via SCA Resolver support scanning of images from any registry for which you can run the docker pull command, e.g., DockerHub, Amazon Elastic Container Registry (ECR), Google Container Registry (GCR), Quay, JFrog Container Registry (JCR) etc.
Supported Ecosystems
-
Debian (dpkg)
-
Alpine (apk)
-
C (conan)
-
C++ (conan)
-
Dotnet (deps.json)
-
Go (go.mod, Go binaries)
-
Java (jar, ear, war, par, sar, native-image)
-
JavaScript (npm, yarn)
-
PHP (composer)
-
Python (wheel, egg, poetry, requirements.txt)
-
Red Hat (rpm)
-
Ruby (gem)dpkg
Yêu cầu bản demo với đầy đủ các tính năng bản quyền ngay hôm nay.
Đăng ký nhận bản demo miễn phí, TẠI ĐÂY
*Liên hệ Pacisoft để được hỗ trợ nhanh chóng nhất.
