다양한 언어의 소스코드 보안 취약점 탐지 솔루션

Checkmarx

 

오늘날 전 세계 보안 취약점의 75% 이상이 어플리케이션에서 발생하고 있는 만큼, SW의 전체 구성요소에서 어플리케이션의 보안은 매우 중요하다고 볼 수 있습니다. Checkmarx(체크막스)는 보안 문제를 유발하는 소프트웨어 보안 취약점을 쉽고 빠르게 검출하여 보안성을 극대화하는 가장 강력한 어플리케이션 보안 취약점 검출 도구입니다

주요 기능

Uncompiled Source Code Scanning

  • 소스 코드를 작성하면서 동시에 취약점을 확인하고 제거하여 개발 기간 단축

Vulnerability

  • 검출된 취약점의 수정 우선순위를 제공하여 효율적으로 보안성 개선 가능

Attack Vector Specification

  • 검출된 취약점의 원인 파악 후 예상되는 해킹 경로의 정보까지 제공하여 신속한 대응 방안 마련

Remediation Advice

  • 초보자도 쉽게 학습하고 적용 가능한 보안 취약점 개선 방안 가이드 제공

Attack Vector Specification

  • 다수의 취약점을 한 번에 제거할 수 있는 코드 위치 정보를 제공하여 코드 수정은 최소화하고, 보안성 향상은 극대화

특장점

모든 주요 개발 언어 지원

  • 프로그래밍 언어 및 스크립트 언어 20가지 지원
  • 지속적인 업데이트를 통해 최신 개발 환경 지원
  • 원클릭 분석 (언어별 설정 불필요)

보안 취약점에 대한 빠른 대응

  • Best Fix Location 알고리즘을 적용하여 최적의 수정 위치 제공
  • 정확한 수정 방안을 제시하여 보안 전문가가 아니더라도 쉽게 수정 가능한 가이드 제공
  • 보안 취약성 개선을 위해 소요되는 시간 절약

오픈 소스 취약점 분석

  • 오픈 소스의 보안 취약점과 개선 방안 제공
  • 오픈 소스 라이선스 위반 여부 검사

광범위한 보안 취약점 검토

  • 알려진 보안 취약점 대부분을 검사
  • 주요 보안 표준 적용웹 어플리케이션: OWASP Top 10, 행정안전부 시큐어코딩미국방부: DISA-STIG의료: HIPAA금융: PCI DSS자동차: MISRA소프트웨어 보안 취약성: CWE미 연방 정보 보안 관리법: FISMA기타 표준 - SANS 25, BSIMM
  • 각 산업별 표준에 맞게 보안 취약점 개선 방안 제공

보안 정책 자동화

  • 대부분의 IDE, 빌드 관리 서버, 버그 추적 도구, 소스 저장소와 완벽한 통합 기능 제공
  • Software Development Life Cycle 필수 요소
  • 개발 제품의 보안 테스트 품질 향상

다양한 개발환경과 통합 및 자동화 지원

Checkmarx에서 분석하는 주요 취약점

HIGH RISKMEDIUM THREATMEDIUM THREAT
CGI Stored XSSBuffer OverflowBlind SQL Injections
Code InjectionCGI Reflected XSS All ClientsClient Side Only Validation
Command InjectionCGI Stored XSSCookie not Sent Over SSL
Connection String InjectionCGI XSSDangerous File Upload
LDAP InjectionCookies ScopingDead Code
Process ControlCross Site History ManipulationDeprecated And Obsolete
Reflected XSSDB Paramater TamperingDeprecated CRT Functions VS2005
Reflected XSS All ClientsDangerous FunctionsDoS by Unreleased Resources
Resource InjectionData Filter InjectionEquals without GetHashCode
SOQL SOSL InjectionDoS by SleepEscape False Warning
SQL injectionDouble FreeFiles Canonicalization Problems
Second Order SQL InjectionEnvironment InjectionHardcoded Absolute Path
Stored XSSEnvironment ManipulationHardcoded Password
UTF7 XSSFiles ManipulationPassword in Connection String
XPath InjectionFrame SpoofingImpersonation Issue
제 품문 의
top