第1章 CheckMarx初见
1.1 what
Checkmarx 白盒代码审计解决方案,主要通过采用独特的词汇分析技术和CxQL专利查询技术对应用程序源码进行静态分析检查。
特点:
l 无需编译,可以直接上传源码zip包,CheckMarx直接扫描源码;
l 规则可定制,用户可以根据不同的语言类型自定义选择检查规则,针对性强;
l 静态分析,代码无需运行;
l 增量扫描,再次扫描,只分析新增代码及相关文件;
l 低耦合,易于集成到软件开发的任何阶段。
1.2 who
谁开发:以色列的一家高科技软件公司CheckMarx开发本软件CxSuite(其实就叫这个名字)。
服务器要求:window服务器,linux好像不行!
|
目的 |
代码行数 |
可用内存 |
核心 |
CPU速度 |
磁盘 |
操作系统 |
Web 服务器 |
其它软件 |
|
集中式(POC) |
150K |
1.5 GB |
2 |
2 Ghz |
5 GB |
Windows Windows Server |
(CxSuite可 |
Windows Installer .NET framework |
|
300K |
3 GB |
|||||||
|
集中式(产品) |
200K |
6 GB |
最少:3 |
最低:2 GHz 对于频繁扫描 |
250 GB |
Windows Server |
IIS 6/7/8 |
|
|
600K |
10 GB |
|||||||
|
1.2M |
16 GB |
最低:2.3 GHz |
||||||
|
2M |
24 GB |
|||||||
|
4M |
44 GB |
|||||||
|
CxEngine (产品)
对于多个CxEngine服务器 |
200K |
2 GB
|
最少:2 |
最低:2 GHz 对于频繁扫描 |
50 GB |
NA |
||
|
600K |
6 GB |
|||||||
|
1.2M |
12 GB |
最低:2.3 GHz |
||||||
|
2M |
20 GB |
|||||||
|
4.5M |
45 GB |
|||||||
|
CxManager (产品) |
|
Minimum: Recommended: |
2 |
最低:2 GHz |
250 GB |
IIS 6/7/8 |
||
|
数据库(产品) |
|
|
50 GB |
NA |
SQL Server |
1.3 How/h2>
目前感觉最佳的适用方法就是通过命令行+web页面查看结果的方式最为方便。
****再次省略了服务器的搭建和配置工作****
以下操作均为默认搭建好CheckMarx服务器,通过虚拟机远程访问CheckMark服务器进行代码静态检测的过程。
1.3.1 命令行部分
示例:
|
cd /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/ time -p sh /home/testuser/CxConsolePlugin-7.5.0-20160719-1414/runCxConsole.sh scan -Projectname test_0110 -CxServer http://172.18.201.61 -cxuser admin@cx -cxpassword Admin@2017 -locationtype folder -locationpath /home/varas/Downloads/llvm/include/llvm/Transforms/ -preset Default -v -reportXML /home/varas/Downloads/test.xml |
红色部分依次为:
Projectname: 检测项目名称(任起);
locationpath:测试项目路径(路径为文件夹路径最后是 / );
preset:预先设置的测试规则,目前建议通过web页面操作设置,见图2;
-reportXML: 生成检测 告的路径;
以上部分需要根据情况修改。
图2设置检测规则
1.3.2 web部分
通过浏览器访问CheckMarx Web服务器,按照项目名称进行查看检测 告。:
nbsp; 需要对跨文件分析进一步补充。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!