Checkmarx快速入门指南

了解checkmarx的使用

为了孩子他娘而奋斗

4002人浏览 · 2023-04-24 10:14:57

为了孩子他娘而奋斗 · 2023-04-24 10:14:57 发布

Checkmarx One快速入门指南

1、Checkmarx介绍

Checkmarx是一种静态代码分析工具，用于发现软件应用程序中的安全漏洞和代码缺陷。通过扫描应用程序源代码，Checkmarx可以在开发过程中帮助发现并修复潜在的安全漏洞和其他错误，从而降低应用程序被攻击的风险。

具体来说，Checkmarx可以检查以下安全漏洞和缺陷：

SQL注入漏洞
跨站点脚本漏洞
不安全的认证和授权机制
安全配置错误
恶意软件植入
拒绝服务攻击
缓冲区溢出等内存错误
敏感数据泄露
加密和解密错误
代码注入漏洞等等。

Checkmarx是一款商业软件，需要购买许可证才能使用。Checkmarx提供不同类型的许可证，根据需要和预算，您可以选择适合自己的许可证。

另外，Checkmarx也提供了免费的试用版许可证，您可以在一定时间内免费试用Checkmarx的功能。试用版许可证通常具有一些限制，例如扫描次数、支持的语言、访问权限等等。如果您对Checkmarx感兴趣，建议您先试用一下试用版许可证，以了解它的功能和性能。

您可以按照以下步骤下载Checkmarx的免费试用版：

访问Checkmarx的官方网站：https://www.checkmarx.com/free-trial/
点击“免费试用”按钮。
在注册页面上填写必要的信息，如姓名、邮箱地址、公司名称等等，并同意Checkmarx的条款和隐私政策。
选择您要试用的Checkmarx产品和版本，例如SAST或SAST+SCA，以及需要支持的编程语言。
点击“提交”按钮，然后您将收到一封包含试用版许可证和下载链接的电子邮件。
按照邮件中的指示下载并安装Checkmarx。

请注意，试用版许可证通常只能使用一段时间，具体时间取决于您选择的许可证类型。在试用期结束之前，如果您对Checkmarx感到满意并决定购买正式版许可证，您可以联系Checkmarx的销售团队获取更多信息。

2、安装前的准备

确定系统要求：首先，您需要检查您的系统是否符合Checkmarx的最低系统要求。这些要求包括操作系统、CPU、内存、磁盘空间等。根据您选择的版本和组件，要求可能会有所不同。请参阅Checkmarx官方文档以获取有关系统要求的详细信息。
以下是Checkmarx的系统要求：

操作系统：
- WindowsServer2008、WindowsServer2008R2、WindowsServer2012、WindowsServer2012R2、WindowsServer2016、WindowsServer2019或Windows7、Windows8.1、Windows10（64位版本）。
硬件要求：
- 8GB以上的RAM（建议16GB或更高）。
- 双核心或更高的CPU（建议4核心或更高）。
- 100GB以上的硬盘空间（建议200GB或更高）。
软件要求：
- Microsoft.NETFramework4.7.2或更高版本。
- IIS7.0或更高版本。
- .NETCore2.2或更高版本（用于Checkmarx命令行扫描工具CxCLI）。
- 数据库服务器：MicrosoftSQLServer2012、MicrosoftSQLServer2014、MicrosoftSQLServer2016、MicrosoftSQLServer2017、Oracle12c、PostgreSQL9.6或以上版本。
浏览器要求：
- GoogleChrome、MozillaFirefox、MicrosoftEdge或InternetExplorer11及以上版本。
以上是Checkmarx的最低系统要求和建议配置，为了获得更好的性能和使用体验，建议满足建议配置。同时，您还应该确保您的系统和软件已经更新到最新版本，以获得最佳的安全性和稳定性。
获取安装程序：您可以从Checkmarx官网上下载安装程序。在下载之前，您需要提供一些基本信息，例如姓名、公司名称和联系方式等。
准备数据库：Checkmarx需要一个支持SQL的数据库来存储扫描结果。您可以使用自己的数据库或安装Checkmarx附带的SQLServerExpressEdition。
准备管理员凭据：在安装过程中，您需要提供管理员凭据来配置Checkmarx。
准备SSL证书：如果您需要使用HTTPS协议来访问Checkmarx，您需要准备一个有效的SSL证书。您可以使用自己的证书或使用Checkmarx附带的证书。
关闭防火墙：在安装Checkmarx之前，您需要确保防火墙不会阻止Checkmarx使用所需的端口。如果您的防火墙开启了特定的端口，请确保这些端口是开放的。
关闭杀毒软件：某些杀毒软件可能会阻止Checkmarx安装或运行。在安装Checkmarx之前，请关闭所有杀毒软件或将其设置为信任Checkmarx。

3、管理员初始登录

3.1开始

打开来自Checkmarx的欢迎电子邮件，其中包含以下内容：
- 用户名
- 帐户名称
- CheckmarxOne应用程序服务器的链接。
单击链接以开始使用

单击链接后，将显示以下屏幕。

单击单击此处继续选项

3.2设置两因素身份验证

按照说明设置移动身份验证以激活帐户。

建议使用谷歌身份验证器移动应用程序。
执行以下操作：
- 输入6位代码
- 点击提交
- 配置MFA后，系统会存储您的MFA设备信息。
- 如果从其他设备配置MFA，则将显示“设备名称”字段，并且该字段为必填项。

3.3更新初始密码

密码限制

密码必须包含以下内容：

最小长度为10个字符。
至少1个大写字符。
至少1个小写字符。
至少1位数字。
至少1个特殊字符。

执行以下操作：

设置新密码，
确认密码。
单击保存并继续

3.4登录CheckmarxOne

在“登录”窗口中执行以下操作：
- 输入用户名
- 输入密码
- 点击登录
执行以下操作
- 再次键入6位代码（与设置两因素身份验证部分中的代码相同）
- 点击登录
记住设备
- 选中记住设备复选框是可选的。选中后，浏览器数据将被保存，因此不会再次要求用户键入此浏览器的6位代码（用于下次登录尝试）。
- 如果使用其他浏览器，此6位代码窗口将再次出现，包括“记住设备”复选框。
- 最多可以记住2个不同的设备（浏览器）。

CheckmarxOne应用程序主页打开

默认大家都已经安装好，具体安装步骤请参考Checkmarx

https://blog.csdn.net/m0_71692682/article/details/128398334

4、扫描项目

CheckmarxOne中的主要功能实体是项目。这是运行扫描和查看结果的级别。

项目–每个项目代表一个源存储库，例如组件、微服务等。（尽管每次运行扫描时都会单独提交实际代码）。项目配置指定扫描项目时运行的查询集。CheckmarxOne聚合了在项目上运行的所有扫描的统计信息。
应用–每个应用程序代表不同的产品线。多个相关项目可以分组到一个应用程序下。将聚合应用程序中包含的所有项目的统计信息。

不需要将项目分配给应用程序。对于本快速入门指南，我们将简单地创建一个项目并运行扫描。

GIF-如何创建项目并运行扫描

4.1创建项目

在应用程序和项目主页中，单击按钮，然后选择新建项目-手动扫描。

将打开“新建项目”窗口。
在“新建项目”窗口中，配置以下内容：
- 项目名称-应指示要扫描和跟踪的源代码。
- 项目标记（可选）-将标记分配给项目。标签对于项目过滤非常有用。
  
  标记在任何其他组件中都没有依赖关系，并且可以配置任何所需的值。
- 组（可选）-将组分配给项目。将组分配给项目后，所有组成员将能够在项目中执行操作（扫描源代码、查看结果等）
- 按规则（可选）-在“扫描程序默认设置”中配置的规则显示在“项目配置”向导中。此选项允许用户执行以下操作：
  - 查看为租户级别配置了哪些规则。
  - 更新/添加规则并将其应用于项目级别。
单击创建项目。新项目已成功添加到“应用程序和项目”列表中。

4.2运行扫描

在“应用程序和项目”主页上，选择“项目”选项卡（默认）。
在您创建的项目的行中，单击扫描。

将打开“新建扫描”窗口。默认情况下，在“项目名称”下，单击的行的项目已选择扫描。

如果要扫描其他项目，可以从下拉菜单中选择其他项目。
在“要扫描的源”部分中，有2个扫描选项：
1. 从压缩文件扫描：
  - 选中“文件”选项（默认）后，单击“选择文件”链接。
  - 选择请求的zip存档文件。
2. 扫描存储库URL：
  - 单击存储库按钮。
  - 输入存储库URL。
  - 单击“获取分支”按钮。
3. 键入您的个人访问令牌，然后单击登录
  
  例如：
4. 如果令牌不正确，则在尝试连接时将显示错误。
  
  例如：
在“扫描标记”下，向新扫描添加标记（可选）。

标签可以以两种不同的格式添加：

标签：<字符串>

键：值：<键字符串：值字符串>
单击下一步。此时将显示“新建扫描”对话框，并要求您选择扫描仪。
选择一个或多个扫描仪。
单击扫描。“新建扫描”对话框将关闭，扫描将开始。
您可以在“项目”选项卡中监视扫描的状态。

5、导航面板

	将用户返回到CheckmarxOne主页。
	应用和项目–CheckmarxOne主页。用于以下用途：创建和监视系统实体（应用程序和项目）运行扫描访问扫描结果分析扫描结果
	全局编录用于显示以下全局列表：接口安全性在此平台上检测到的所有API的列表。列出使用此平台上检测到的所有风险，作为使用API安全扫描程序进行扫描的结果。爱生雅在此平台上检测到的所有包的列表。此平台上由于使用SCA扫描程序进行扫描而检测到的所有风险的列表。
	扫描管理此屏幕用于查看和监视在CheckmarxOne中针对所有扫描类型（SAST，SCA，IaC安全性）执行的所有扫描。
	身份和访问管理此屏幕用于以下用途：创建和管理Oauth2客户端。配置和管理用户、组、用户角色、会话。配置身份提供程序（SAML、OpenIDConnect）。配置LDAP服务器。创建API密钥。
	SCA知识中心此屏幕用于显示SCA数据库。有两个单独的选项卡用于按漏洞或包版本搜索数据库。SCA知识中心将在浏览器的新选项卡中打开。查看SCA知识中心
	帐户设置提供有关帐户的以下详细信息：常规帐户详细信息（租户名称、许可证模式、许可证开始/到期日期）许可证消耗（用户数、项目数、查询编辑器用户数）。许可模式解决方案。特征附加组件

6、分析扫描结果

扫描完成后，可以查看和分析扫描结果。

项目风险级别通过CheckmarxOne主页显示。

6.1项目预览

单击CheckmarxOne主页中的“项目”行。
在屏幕右侧打开项目预览面板。此视图表示已执行的最新扫描，包括用于上次扫描的扫描程序。

6.2项目概况

单击转到项目按钮。
将打开“项目概述”屏幕。
在“概述”屏幕中，可以看到所有扫描仪结果的以下聚合信息（小组件）：
- 风险级别-显示项目风险级别（高、中、低）。
- 漏洞总数-显示总漏洞的数量，按严重性（高、中、低）分布。
- 每个扫描类型的漏洞-按扫描类型显示漏洞分布-SAST、KICS、SCA。
- 上次扫描时间-显示从上次扫描日期到当前日期经过的天数。
- 一段时间内的严重性-显示按严重性（高、中、低）分布的最新漏洞值。
  
  此值在所选时间范围内每天计算。
- 老化摘要-显示特定时间范围内第一个发现日期按严重性（高、中、低）分布的漏洞数量。
- 合规漏洞概述-显示CheckmarxOne数据库中存在的所有合规标准。