另一种使用方式是通过Web界面进行代码扫描。用户点击桌面快捷方式“Checkmarx Portal”,登录Web界面。在“仪表盘”下查看先前使用“Checkmarx Audit”进行的扫描结果,并点击“新建项目”按钮。上传Java源码压缩包时,注意部分版本可能有文件大小限制,可能需要使用CxZip utility进行处理。计算行数以预估审计...
第38篇:Checkmarx代码审计&47;代码检测工具的使用教程1
Checkmarx是一款以以色列研发的代码审计工具,主要针对.NET开发环境,并且需要在Windows操作系统下使用。相较于其他工具,Checkmarx的安装过程复杂,需要额外安装IIS、.NET环境、SQLServer数据库等组件。为了确保安装顺利,建议用户在虚拟机环境中运行,尤其是选择win2012或win2016版本。在安装过程中,确保CxJobsManager、CxScansManager、CxSystemManager、CxScanEngine、IIS Admin Service、World Wide Web Publishing Service等服务处于启动状态,等待几分钟,直至所有服务启动完成。对于系统配置,推荐为Checkmarx分配16G内存,以满足其对资源的需求。操作系统建议使用win2012或win2016版本,最新的可能需要win2019,但具体情况还需进一步确认。此外,网上存在多个版本的破解版,部分版本在扫描至90%或99%时会卡住,这可能是破解不完全导致的,需谨慎辨别。
使用Checkmarx进行代码扫描时,用户首先通过桌面的快捷方式启动“Checkmarx Audit”客户端程序,并输入用户名和密码进行登录。接着,点击“New Local Project”按钮,选择需要进行代码扫描的Java代码文件夹,确保包含完整的jar包,以避免扫描失败或结果遗漏。在“Count”选项中可以快速获取代码行数,用于估算代码审计的工作量。勾选“Select Queries Before Loading Project”选项,允许用户手动选择代码审计规则库。在“Run Multiple Queries”界面下,用户可以选择需要使用的代码审计规则库,通常只需选择Java选项。点击“Scan”按钮启动扫描过程,用户可以在“Loading Project”窗口中查看扫描进度。完成扫描后,通过“Results History”查看漏洞结果,并勾选“Hide Empty”选项隐藏无漏洞结果,以便清晰地查看漏洞详情。点击右下角方框预览代码,Checkmarx会提供代码高亮显示。在最右边方框中,展示漏洞污点传播流程图,类似于Fortify的Diagram功能,有助于审计人员识别过滤函数,判断是否存在绕过漏洞的可能性。用户可以保存扫描结果,以便下次重新打开。
另一种使用方式是通过Web界面进行代码扫描。用户点击桌面快捷方式“Checkmarx Portal”,登录Web界面。在“仪表盘”下查看先前使用“Checkmarx Audit”进行的扫描结果,并点击“新建项目”按钮。上传Java源码压缩包时,注意部分版本可能有文件大小限制,可能需要使用CxZip utility进行处理。计算行数以预估审计工作量,之后继续完成项目创建。扫描过程完成后,用户可以看到项目整体漏洞分布情况,点击“打开扫描总结”和“打开察看器”进行详细漏洞查看。点击右下角长方框中的文件路径,可以直接查看Java代码,Checkmarx提供代码高亮显示功能。Checkmarx提供了一个功能,以红色方框标记各种Web漏洞触发流程的交集点,即最佳修复点,简化了修复过程。生成报告时,用户可以手动选择需要报告体现的各种漏洞类型,点击“生成报告”按钮生成最终报告,与Fortify的报告类似,用户需要自行编写代码审计报告。
总之,Checkmarx提供了一套全面的代码审计解决方案,其安装和使用流程相对复杂,需要用户具备一定的系统配置和管理知识。通过客户端和Web界面的不同方式,用户可以根据需求灵活选择进行代码扫描和漏洞分析。在实际操作中,用户应仔细阅读使用说明书,以确保最大程度地利用Checkmarx的工具功能,提高代码审计的效率和准确性。2024-10-09
