Checkmarx logó

Checkmarx Statikus Alkalmazásbiztonsági Tesztelés (CxSAST)

A szoftverbiztonság immár vezetői kérdés

A szoftverfejlesztés hajnalán először megterveztük, majd megírtuk a programot, és csak utána foglalkoztunk biztonsági kérdésekkel.

Ez talán elegendő volt a monolitikus struktúrájú alkalmazások és zárt hálózatok korában, amikor a kockázatok minimalizálásához bőven elég volt a stabil, a rendszer határain alapuló védekezés, valamint a hatékony azonosítás és jogosultságkezelés. A szoftverek ma már mindenütt jelen vannak: a telefonunkban, a számítógépünkben, az otthonunkban és az autónkban is. És ha mindenhol ott vannak, minden támadási felületté válik.

Ha hozzávesszük az ismétlődő „DevOps stílusú” szállítást és a folyamatosan gyorsuló kiadási ciklusokat, máris világossá válik, hogy a biztonság kérdéskörét nem függetleníthetjük a fejlesztési és szállítási folyamatoktól.

A CxSAST egy nagyvállalati szintű megoldás, amely gyors, teljes egészében automatizált, rugalmas és pontos statikus elemzést biztosít, emellett biztonsági sérülékenységek százait képes azonosítani egyedi kódokban is. A sérülékenységi vizsgálatok rendkívül pontos és részletes eredményeket közölnek, ahol a problémák a súlyosságuk szerint vannak osztályozva, így a felhasználó könnyen felismeri, mit célszerű először kijavítani. A CxFlow (a Checkmarx hatékony orkesztrációs modulja) fejlett automatizálási képességekkel ruházza fel a CxSAST-t, ezáltal a vállalatok anélkül növelhetik szoftvereik biztonságát, hogy a fejlesztési munkafolyamatokat megzavarnák.

Termékünket fejlesztők, DevOps, illetve kiberbiztonsági csapatok is széleskörűen alkalmazzák, hogy már a szoftverfejlesztési folyamat korai szakaszaiban is vizsgálhassák a forráskódot, akár 25 kódolási és szkriptnyelven.

Szakértő alkalmazásbiztonsági tesztelés közben

Mi teszi különlegessé a Checkmarx SAST-t?

Nagyfokú automatizáltság

A Checkmarx (SAST) szorosan integrálható a legnépszerűbb szoftverkiadás-tervező programokba és agilis tervezőeszközökbe, így például az integrált fejlesztői környezetekbe, build management szerverekbe, hibakövető eszközökbe és forráskódtárakba, hogy a biztonságpolitika automatikusan érvényesülhessen.

Együtt könnyebb

A CxSAST a Checkmarx átfogó szoftverbiztonsági termékcsaládjának központi eleme. A termékek integrációja és hatékony együttműködésük nagyobb lefedettséget, pontosabb eredményeket, valamint intelligensebb rangsorolást és helyreállítást eredményez.

Gyorsabb helyreállítás

Az egyedi „Best Fix Location” algoritmusunk segítségével a fejlesztők akár egyszerre több sérülékenységet is kijavíthatnak a kódban.

Találja meg hamarabb a sérülékenységeket

A CxSAST átvizsgálja a forráskódokat, tehát nem szükséges kész builddel dolgoznia. Nyelvek közötti váltáskor nincsenek függőségi konfigurációk, sem betanulási időszak.

Agile és CI csoportok számára a legjobb döntés

A CxSAST által kínált fokozatos ellenőrzési mód csak a módosított vagy újonnan beillesztett kódokat elemzi, így legalább 80%-kal csökkenti a vizsgálati időt. Emellett a biztonsági tesztelés automatizálásának érdekében CI szerverekkel is összekapcsolható.

Beilleszkedik a munkafolyamatokba

A CxSAST már a kódkezelési folyamat korai szakaszában is lehetővé teszi az ellenőrzések automatizálását azáltal, hogy közvetlenül integrálható a forráskód-kezelési (SCM) rendszerekkel és a CI/CD eszközökkel, így biztosítva a teljeskörű automatizációt a vizsgálat kezdetétől a ticket létrejöttéig.

Az azonosított sérülékenységek teljeskörű megértése

A Checkmarx segítségével az összes vizsgálati eredmény magyarázatát és bizonyítékát megtekinthetjük, hogy megértsük a sérülékenységek mögött megbúvó okokat. Nem korlátoznak a mások által használt szabályok. A Checkmarx Open Query nyelve lehetővé teszi, hogy a vállalatok teljesen kiaknázhassák a CxSAST alapjait jelentő kutatási eredményeket.

Kövesse a szabályozó előírásokat

Az olyan szabályozó szabványok, mint a PCI-DSS, HIPAA, FISMA, stb. olyan gyakori sérülékenységek utáni kutatásra kötelezik a vállalatokat, amiket az OWASP Top Ten és a SANS Top 25 is tartalmaz. A CxSAST ezeken felül további sérülékenyégeket is megtalál. Emellett az egyedi lekérdezőnyelvvel könnyedén létrehozhatjuk a saját magunk, valamint az iparágunk és a vállalatunk számára leghangsúlyosabb sérülékenységeket tartalmazó biztonságpolitikánkat.

Rugalmas telepítési lehetőségek

A CxSAST önálló termékként is elérhető és hatékonyan beilleszthető a szoftverfejlesztési életciklusba (SDLC) az észlelés és helyreállítás harmonikusabbá tételéért. A CxSAST privát adatközpontokba is telepíthető, illetve nyilvános felhőkön is hosztolható.