소스코드 기반 어플리케이션 보안 취약점 탐지 솔루션 (SAST 솔루션)
Checkmarx는 OWASP Top 10, SANS TOP 25, CWE, DISA STIG 등과 같은 시큐어 코딩 가이드를 기반으로 소스코드에서 발생할 수 있는 다양한 보안취약점을 빠르고 쉽게 분석하고 이를 수정하기 위한 최적의 개선위치를 가이드 해 주는 전세계에서 가장 강력한 SAST 솔루션 입니다.
Gartner주관 애플리케이션 보안테스팅 부문에서 2018년 이래로 2021년까지 4년연속 사용자평가 1위 제품으로써 포츈지 세계 50대 기업의 절반이상의 Checkmarx를 보안취약점 검사도구로 채택하고 있습니다.

 

주요 특징

01Uncompiled Source Code Scanning
  • 소스 코드 작성과 동시에 취약점을 빠르게 제거하여 개발 기간을 단축
02Vulnerability
  • 검출된 취약점에 대한 수정, 우선 순위 제공을 통한 효율적인 취약점 개선
03Attack Vector Specification
  • 검출된 취약점의 원인을 쉽게 파악 가능하도록 예상 해킹 경로 정보를 제공하여 신속하게 대응 방안 마련
04Remediation Advice
  • 보안 취약점의 제거 방안 가이드를 통해 초봐도 쉽게 취약점 개선 방법 학습 및 적용 가능

주요 기능

01모든 주요 개발 언어 지원
  • 프로그래밍 언어 및 스크립트 언어 20가지 지원
  • 지속적인 업데이트를 통해 최신 개발 환경 지원
  • 원클릭 분석 (언어별 설정 불필요)
02모든 주요 개발 언어 지원
  • Best Fix Location 알고리즘을 적용하여 최적의 수정 위치 제공
  • 정확한 수정 방안을 제시하여 보안 전문가가 아니더라도 쉽게 수정 가능한 가이드 제공
  • 보안 취약성 개선을 위해 소요되는 시간 절약
03오픈 소스 취약점 분석
  • 오픈 소스의 보안 취약점과 개선 방안 제공
  • 오픈 소스 라이선스 위반 여부 검사
04광범위한 보안 취약점 검토
  • 알려진 보안 취약점 대부분을 검사
  • 오픈 소스 라이선스 위반 여부 검사
  • 주요 보안 표준 적용
      · 웹 어플리케이션: OWASP Top 10, 행정안전부 시큐어코딩
      · 미국방부: DISA-STIG
      · 의료: HIPAA
      · 금융: PCI DSS
      · 자동차: MISRA
      · 소프트웨어 보안 취약성: CWE
      · 미 연방 정보 보안 관리법: FISMA
      · 기타 표준: SANS 25, BSIMM
  • 각 산업별 표준에 맞게 보안 취약점 개선 방안 제공
05보안 정책 자동화
  • 대부분의 IDE, 빌드 관리 서버, 버그 추적 도구, 소스 저장소와 완벽한 통합 기능 제공
  • Software Development Life Cycle 필수 요소
  • 개발 제품의 보안 테스트 품질 향상
06다양한 개발환경과 통합 및 자동화 지원

Checkmarx에서 분석하는 주요 취약점

HIGH RISKMEDIUM THREATLOW VISIBILITY
CGI Stored XSSBuffer OverflowBlind SQL Injections
Code InjectionCGI Reflected XSS All ClientsClient Side Only Validation
Command InjectionCGI Stored XSSCookie not Sent Over SSL
Connection String InjectionCGI XSSDangerous File Upload
LDAP InjectionCookies ScopingDead Code
Process ControlCross Site History ManipulationDeprecated And Obsolete
Reflected XSSDB Paramater TamperingDeprecated CRT Functions VS2005
Reflected XSS All ClientsDangerous FunctionsDoS by Unreleased Resources
Resource InjectionData Filter InjectionEquals without GetHashCode
SOQL SOSL InjectionDoS by SleepEscape False Warning
SQL injectionDouble FreeFiles Canonicalization Problems
Second Order SQL InjectionEnvironment InjectionHardcoded Absolute Path
Stored XSSEnvironment ManipulationHardcoded Password
UTF7 XSSFiles ManipulationPassword in Connection String
XPath InjectionFrame SpoofingImpersonation Issue
제 품문 의
top