Výrobcovia

checkmarx

Spoločnosť Checkmarx sa vypracovala do pozície popredného vývojára riešení na testovanie bezpečnosti aplikácií. Najviac sa preslávila svojím riešením s názvom Static Application Security Testing (SAST). Medzi zákazníkov spoločnosti patria 4 z 10 celosvetovo najväčších dodávateľov softvéru a stovky ďalších či už veľkých organizácií vedených na zozname Fortune 500 alebo malých a stredných podnikov.

Checkmarx CxSAST je mimoriadne presný a flexibilný produkt na analýzu zdrojového kódu, ktorý organizáciám umožňuje automaticky skenovať neskompilovaný/nezostavený kód a identifikovať stovky bezpečnostných zraniteľností v najrozšírenejších programovacích jazykoch.

CxSAST je dostupný ako samostatný produkt a dá sa efektívne integrovať do procesu SDLC s cieľom zefektívniť proces detekcie a nápravy. Je k dispozícii priamo na pracovisku, na vyžiadanie alebo v súkromnom/verejnom cloude.

CxSAST prirodzene vyhľadáva stovky zraniteľností vrátane tých najbežnejších:

  • Vkladanie SQL
  • Skriptovanie naprieč lokalitami (XSS)
  • Vkladanie kódu
  • Pretečenie bufferu
  • Zásahy do parametrov
  • Falšovanie požiadaviek naprieč lokalitami (CSRF)
  • Delenie HTTP
  • Falšovanie prevádzkových záznamov
  • DoS
  • Fixovanie relácií
  • Poškodzovanie (poisoning) relácií
  • Nespracované výnimky
  • Neuvoľnené zdroje
  • Neoverený vstup
  • Útok presmerovaním URL
  • Nahrávanie nebezpečných súborov
  • Heslá v zdrojovom kóde
  • A ďalšie...

CxSAST Mobile

Checkmarx CxSAST pre mobily je prispôsobený pre stále rastúcu ponuku mobilných natívnych, ale aj hybridných aplikácií. CxSAST pre mobily je vytvorený tak, aby pomáhal zmierňovať bezpečnostné riziká v oblasti mobilných aplikácií.

  • podporuje všetky hlavné kódovacie jazyky pre Android, iOS a Windows, vrátane populárneho Adobe Phonegap Framework,
  • je schopný okamžite skenovať nové operačné systémy po vydaní, vďaka jedinečnej schopnosti Checkmarxu skenovať nezkompilovaný kód,
  • odhaľuje jedinečné mobilné zraniteľnosti, vrátane oprávnení aplikácií, vstupných dátových vektorov, citlivých ukladaní dát a podporuje viacero operačných systémov a poskytuje časté aktualizácie, komunikáciu a funkcionalitu naprieč viacerými aplikáciámi a platformami.

 CxRASP

Chechmarx CxRASP, čo je skratka pre "Ochrana chodu aplikácie", identifikuje a blokuje útoky aplikačnej vrstvy s bezkonkurenčnou presnosťou. Jedná sa o vôbec prvé riešenie šité na mieru ochranného mechanizmu konkrétneho chodu vašej aplikácie. Ochranný mechanizmus ostane nečinný, až do momentu, kedy zachytí zneužitie vašej aplikácie. Falošné poplachy sú minulosťou.

  • obsahuje pokročilé sledovacie funkcionality prispôsobené na špecifický chod vašej aplikácie,
  • poskytuje plnú integráciu so SAST riešeniami, vrátane riešenia Checkmarx CxSAST,
  • najprv overuje možné bezpečnostné incidenty pred tým, než varuje organizáciu a poskytuje okamžité rady na opravu.

Integrácia do SDLC

Spoločnosť Checkmarx umožňuje organizáciám integrovať statické testovanie bezpečnosti aplikácií do svojho SDLC (životný cyklus vývoja softvéru). Podporujeme integráciu s najrozšírenejšími repozitármi zdrojového kódu, servermi na správu zostavení, nástrojmi na odlaďovanie chýb a IDE.

Bezpečné SDLC

Checkmarx umožňuje organizáciám integrovať statické testovanie bezpečnosti aplikácií do svojho SDLC. Podporujeme integráciu s najrozšírenejšími repozitármi zdrojového kódu, servermi na správu zostavení, nástrojmi na odlaďovanie chýb a IDE. Ak natívne neposkytujeme integráciu s niektorým z vašich SDLC komponentov, integráciu je možné zabezpečiť prostredníctvom nášho komplexného API. Výhody plne integrovaného modelu SAST sú nasledujúce:

  • Bezpečnostný tím sa sústreďuje na nastavenie politiky a používanie Checkmarx na jej automatické presadzovanie.
  • Vďaka rýchlemu bezpečnostnému testovaniu najnovších fragmentov kódu je možné v prípade akýchkoľvek nálezov vykonať nápravu, kým má vývojár všetko v čerstvej pamäti. Tým sa významne znižujú náklady a eliminuje sa problém s riešením množstva bezpečnostných zraniteľností krátko pred dátumom vydania.

Vďaka čomu je Checkmarx jedinečný?

Skenuje neskompilovaný kód

Riešenie Checkmarx majú schopnosť skenovať nespracovaný zdrojový kód, čo pre vás ako zákazníka znamená, že dokážete kód skenovať v ranných fázach životného cyklu vývoja, kedy je odhaľovanie bezpečnostných nedostatkov najefektívnejšie. Tiež to znamená, že si nemusíte robiť starosti s tvorbou skompilovaného zostavenia a produktu stačí doslova podhodiť fragmenty kódu a skenovanie sa môže začať.

Ponúka transparentnosť a jednoduchosť prispôsobenia

Produkt spoločnosti Checkmarx bol navrhnutý s použitím otvoreného dotazovacieho jazyka, čo znamená, že nie je problém zistiť, čo Checkmarx skenuje a ako to robí. Taktiež to znamená, že sa dá rýchlo upraviť na základe požiadaviek vášho konkrétneho prostredia a dá sa ho naučiť prípadné ozdravné metódy, ktoré nie sú súčasťou natívnej architektúry. Vďaka tomu sa početnosť falošne pozitívnych/negatívnych výstupov znižuje na zanedbateľné množstvo. Odborne zdatní zákazníci si zvyknú doplniť svoje vlastné dotazy a Checkmarx používajú na presadzovanie optimálnych programovacích postupov, dosahovanie súladu so špecifickými nariadeniami a pod.

Optimalizuje vaše nápravné aktivity

Checkmarx dokáže omnoho viac, ako len odhaliť všetky bezpečnostné zraniteľnosti vo vašom kóde. Vaše nápravné aktivity optimalizuje tak, že sa na dátový tok aplikácie pozrieme z nadhľadu a identifikuje kritické lokality, ktoré v prípade nápravy kódu na príslušných miestach povedú k odstráneniu niekoľkých zraniteľností súčasne jedinou korekciou.

Neskenuje kód, ktorý sa nezmenil

Pomocou jedinečných funkcií prírastkového skenovania Checkmarx eliminuje potrebu opakovane skenovať celú základňu kódu, ak došlo k zmene len niekoľkých riadkov. Analýze podrobuje len kód, ktorý sa zmenil od posledného skenovania a naň naviazané súbory. Týmto je možné dosahovať rýchle výsledky, čo zaiste poteší každého, kto pracuje v agilnom prostredí s vysokým tempom vývoja.

Integruje sa do vášho procesu tvorby zostavení

Checkmarx ponúka dostatočnú flexibilitu na to, aby ho bolo možné integrovať do vášho zavedeného životného cyklu vývoja softvéru (SDLC). Umožní vám to rozhodnúť sa o požadovanej bezpečnostnej politike, o ktorej presadzovanie sa bude následne automaticky starať Checkmarx. Podporuje najbežnejšie zdrojové repozitácie, servery zostavení, nástroje na vyhľadávanie chýb, IDE a systémy výkazníctva, aby ste vy mohli optimalizovať svoje bezpečnostné testovanie a zaistiť, že sa realizuje čo najefektívnejšie.

Podporuje najrozšírenejšie programovacie jazyky

Checkmarx bol vyvinutý tak, aby sme mohli pomerne jednoducho dopĺňať nové programovacie jazyky a architektúry. V súčasnosti podporuje 18 programovacích a skriptovacích jazykov a ich najpopulárnejších architektúry a každoročne dopĺňame 2 až 3 nové jazyky.

Viac informácií nájdete na www.checkmarx.com/ alebo v priloženom produktovom liste CxSAST.

Ďalší výrobcovia