다양한 언어의 소스코드 보안 취약점 탐지 솔루션
Checkmarx
오늘날 전 세계 보안 취약점의 75% 이상이 어플리케이션에서 발생하고 있는 만큼, SW의 전체 구성요소에서 어플리케이션의 보안은 매우 중요하다고 볼 수 있습니다. Checkmarx(체크막스)는 보안 문제를 유발하는 소프트웨어 보안 취약점을 쉽고 빠르게 검출하여 보안성을 극대화하는 가장 강력한 어플리케이션 보안 취약점 검출 도구입니다.
주요 특징
- 01Uncompiled Source Code Scanning
- 소스 코드 작성과 동시에 취약점을 빠르게 제거하여 개발 기간을 단축
- 02Vulnerability
- 검출된 취약점에 대한 수정, 우선 순위 제공을 통한 효율적인 취약점 개선
- 03Attack Vector Specification
- 검출된 취약점의 원인을 쉽게 파악 가능하도록 예상 해킹 경로 정보를 제공하여 신속하게 대응 방안 마련
- 04Remediation Advice
- 보안 취약점의 제거 방안 가이드를 통해 초봐도 쉽게 취약점 개선 방법 학습 및 적용 가능
주요 기능
- 01모든 주요 개발 언어 지원
- 프로그래밍 언어 및 스크립트 언어 20가지 지원
- 지속적인 업데이트를 통해 최신 개발 환경 지원
- 원클릭 분석 (언어별 설정 불필요)
- 02모든 주요 개발 언어 지원
- Best Fix Location 알고리즘을 적용하여 최적의 수정 위치 제공
- 정확한 수정 방안을 제시하여 보안 전문가가 아니더라도 쉽게 수정 가능한 가이드 제공
- 보안 취약성 개선을 위해 소요되는 시간 절약
- 03오픈 소스 취약점 분석
- 오픈 소스의 보안 취약점과 개선 방안 제공
- 오픈 소스 라이선스 위반 여부 검사
- 04광범위한 보안 취약점 검토
- 알려진 보안 취약점 대부분을 검사
- 오픈 소스 라이선스 위반 여부 검사
- 주요 보안 표준 적용
· 웹 어플리케이션: OWASP Top 10, 행정안전부 시큐어코딩
· 미국방부: DISA-STIG
· 의료: HIPAA
· 금융: PCI DSS
· 자동차: MISRA
· 소프트웨어 보안 취약성: CWE
· 미 연방 정보 보안 관리법: FISMA
· 기타 표준: SANS 25, BSIMM - 각 산업별 표준에 맞게 보안 취약점 개선 방안 제공
- 05보안 정책 자동화
- 대부분의 IDE, 빌드 관리 서버, 버그 추적 도구, 소스 저장소와 완벽한 통합 기능 제공
- Software Development Life Cycle 필수 요소
- 개발 제품의 보안 테스트 품질 향상
- 06다양한 개발환경과 통합 및 자동화 지원
Checkmarx에서 분석하는 주요 취약점
HIGH RISK | MEDIUM THREAT | LOW VISIBILITY |
---|---|---|
CGI Stored XSS | Buffer Overflow | Blind SQL Injections |
Code Injection | CGI Reflected XSS All Clients | Client Side Only Validation |
Command Injection | CGI Stored XSS | Cookie not Sent Over SSL |
Connection String Injection | CGI XSS | Dangerous File Upload |
LDAP Injection | Cookies Scoping | Dead Code |
Process Control | Cross Site History Manipulation | Deprecated And Obsolete |
Reflected XSS | DB Paramater Tampering | Deprecated CRT Functions VS2005 |
Reflected XSS All Clients | Dangerous Functions | DoS by Unreleased Resources |
Resource Injection | Data Filter Injection | Equals without GetHashCode |
SOQL SOSL Injection | DoS by Sleep | Escape False Warning |
SQL injection | Double Free | Files Canonicalization Problems |
Second Order SQL Injection | Environment Injection | Hardcoded Absolute Path |
Stored XSS | Environment Manipulation | Hardcoded Password |
UTF7 XSS | Files Manipulation | Password in Connection String |
XPath Injection | Frame Spoofing | Impersonation Issue |