4.1 軟體介紹

CxSuite是目前最強有力的下一代靜態原始碼安全掃描測試方案，專門設計為識別、跟蹤和修復軟體原始碼上的技術和邏輯方面的安全缺陷。首創了以查詢語言定位程式碼安全問題，其採用獨特的詞彙分析技術和CxQL專利查詢技術，快速掃描和分析原始碼中的安全漏洞和弱點，克服了傳統靜態分析工具誤報率高和漏報的缺陷，掃描結果幾乎達到誤報為零的效果，不需要像傳統的靜態分析工具，需要花費巨大的人力、時間和管理成本消除掃描結果中的誤報。

Checkmarx Cxsuit支援極其廣泛的軟體安全漏洞和安全弱點 、作業系統平臺、多種程式語言和框架，無縫整合到軟體開發生命週期。 Cxsuit的自動程式碼審計功能允許開發組織以最少的時間和成本去應對安全程式碼的挑戰。

4.2 使用Checkmarx CxSuite

1、Checkmarx CxSuite外掛組成

其主要組成如下：

CxManager - 直觀的原始碼安全掃描結果管理。 CxDeveloper –掃描原始碼，定位安全缺陷。 CxViewer - 審查程式碼掃描結果以便於安全缺陷修復。 CxAudit - 調查或者研究原始碼，分析技術和邏輯安全問題，定製程式碼安全查詢規則。 CxConsole- 命令列介面實現團隊專案集中掃描和自動化。

2、Findbugs Eclipse外掛使用

CxManager為CXDeveloper、CxViewer、和CxAudit提供一致的程式碼安全掃描、審計和結果管理的框架。它允許跟蹤在原始碼中發現的安全威脅和評估這些安全威脅對研發專案的嚴重級別。Cxmanger收集安全資訊基於CxDeveloer和CxAudit程式碼審查的的結果。文字和圖形的報告對這些收集的資訊 提供更深度的分析 ，它也允許精確地識別在原始碼中的安全漏洞以及必要的修復程式碼缺陷的補救措施。

CxManager

CxAudit按開發人員的工作方式工作

CxAudit是Checkmarx產品套件CxSuite的一部分。該產品的設計旨在幫助安全風險管理人員編寫具體的查詢程式來加強公司的最佳實踐和遵循標準安全規範，實現和制定公司安全策略，然後將其分配給開發團隊進行統一的安全掃描。

安全風險管理人員沒有時間去悉心照顧像嬰兒一樣、還不成熟的靜態分析工具（大量的誤報需要核實）。伴隨著現代靈活經典的迭代過程的發展，保持開發的速度並且避免增加不必要的日常活動開銷就顯得至關重要。軟體安全管理人員自始一直揹負著使用昂貴的靜態分析工具的代價，而這些靜態分析誤報率都很高並且需要向開發過程中融入大量的諮詢工作。如果誤報率高的話，工具的可信度就會降低。管理人員需要利用靈活性和可配置性來迅速、準確地發現開發原始碼中的技術和業務缺陷。

Checkmarx CxAudit是新一代的.NET和J2EE環境的靜態安全分析工具。CxAudit效能優越、具備內建記憶體程式碼模式及定製查詢語言，是目前市場上最快、最準確、最具擴充套件性的安全分析工具和報告產品。因為在被報告成缺陷前，從問題呈現到根源的整個程式碼路徑都被驗證過，所以，它的誤報率非常低。其內建查詢語言CxQL允許對查詢進行新增、修改和分組，從而滿足其過程和管理的需要，也就是說，其結果使得一體化和諮詢費用降低。漏洞的圖解表現形式加速了補救措施的實施，同時，也降低了補救的成本。整合Visual Studio使得審計、掃描和分析活動都在開發環境下進行，同時完整的獨立的使用者介面和CLI（命令列）能力也能滿足安全審計人員和整合研發環境的要求。

CxDeveloper 按開發人員的工作方式工作

CxConsole-開發團隊自動化程式碼安全掃描

CxCosole是Checkmarx原始碼掃描分析引擎的命令列介面，該介面提供配置多個開發團隊，多個開發人員自動原始碼集中安全掃描和email通知功能。