Tag: sviluppo

Checkmarx CxSAST - Web Services Roma

Effettuare una SAST con Checkmarx CxSAST

Checkmarx SAST

Checkmarx SAST (CxSAST) è una soluzione di analisi statica del codice sorgente flessibile e accurata di livello enterprise utilizzata per identificare centinaia di vulnerabilità di sicurezza nel codice sorgente.

Viene utilizzato dai team di sviluppo, DevOps e sicurezza per eseguire la scansione del codice sorgente nelle prime fasi dell’SDLC, identificare le vulnerabilità e fornire informazioni strategiche per risolverle.

Supporta oltre 25 linguaggi di codifica e scripting e relativi framework senza configurazione per eseguire la scansione di qualsiasi lingua.

Interfaccia di Checkmarx CxSAST - Web Services Roma
Interfaccia di Checkmarx CxSAST

Vantaggi di CxSAST

CxSAST è quindi un potente strumento in ambito enterprise per il riconoscimento e la mitigazione di falle di sicurezza nel codice sorgente delle applicazioni già nella fase di sviluppo e prima di andare in produzione, riducendo quindi i costi necessari per effettuare penetration test applicativi.

Può infatti essere configurato con i più noti IDE (ambienti di sviluppo) e richiamato in fase di build dell’applicazione direttamente dallo sviluppatore.

CxSAST segnala allo sviluppatore la vulnerabilità o la problematica di sicurezza trovata nel codice sorgente dell’applicazione evidenziandone i punti di ingresso e di uscita (nel caso si tratti di input – output) oppure problemi nella configurazione del software.

Falsi positivi e falsi negativi

Con CxSAST è inoltre possibile ridurre la segnalazione di falsi positivi e falsi negativi. Tramite l’interfaccia di customizzazione delle query è possibile modificare la regola che rileva la vulnerabilità ma non sfruttabile (falso positivo). Nel caso del falso negativo è possibile creare una query specifica per quell’applicazione ed includerla nell’automazione della scansione ed evitare quindi non venga segnalata.

Di seguito un esempio query custom con CxSAST

CustomQuery_Example.cs

CxList findFreeFunc = Find_Methods().FindByShortName("free");

CxList argName = All.FindByShortName("id");

CxList freeOnTrans = findFreeFunc.FindByParameters(argName);

if (freeOnTrans.Count > 0) {
	result -= freeOnTrans;
	cxLog.WriteDebugMessage("removed result: " + freeOnTrans.GetName());
} else {
	cxLog.WriteDebugMessage("no results founds on: " + freeOnTrans.GetName());
}

Contattami per implementare Checkmarx CxSAST nella tua azienda compilando il seguente form

Di seguito il data sheet con i linguaggi supportati da CxSAST:


Riferimenti: