Checkmarx CxSAST, c’è un modo semplice per avere codice sorgente sicuro

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Checkmarx CxSAST permette la scansione del codice prima della sua compilazione, lo scan incrementale, e una facile implementazione all’interno del proprio SDLC. Come ridurre i costi di correzione delle vulnerabilità con un tool che vive on-premise come in cloud

CxSAST è la soluzione sviluppata da Checkmarx per analizzare il codice sorgente ed eseguirne la scansione automatica, qualunque sia il linguaggio utilizzato per svilupparlo, in modo da avere codice in produzione accurato e sicuro. La differenza rispetto ad altre soluzioni è data dal fatto che l’analisi avviene prima della compilazione e consentirà di identificare le vulnerabilità di sicurezza. CxSAST può poi essere utilizzato così come è, come applicazione stand alone (installato su un server centrale e con accesso via Http, Web client e plug-in IDE), o essere integrato nel ciclo di sviluppo software, tanto on premise, quanto in cloud. Su cloud pubblica o privata, anche eventualmente come servizio on-demand.

Checkmarx - SDLC Integration
Checkmarx – SDLC Integration

Altri elementi differenzianti sono l’utilizzo di un linguaggio di interrogazione aperto in fase di progettazione, in modo da rendere la soluzione più adattabile, e in grado con pochi sforzi di aggiungere il supporto per nuovi linguaggi di codifica e framework. Al momento sono supportati 18 linguaggi di codifica e programmazione. Per questa impostazione originale, Gartner posiziona Checkmarx nel quadrante in alto a sinistra, quello dei Challengers virtuosi, quando si parla di AST (Application Security Testing) vendor.

Dopo avere analizzato il codice sorgente Checkmarx archivia il codice in un DB e lo lavora con una serie di interrogazioni, secondo centinaia di regole, per rivelarne la solidità. E’ possibile anche fare una comparazione tra le scansioni, prima e dopo gli interventi sul codice, per rilevare le differenze. Con il Viewer proprietario viene evidenziato il punto di ingresso della vulnerabilità, il percorso e i dettagli della vulnerabilità stessa, con un tasso di falsi positivi in fase di rilevamento inferiore al 5 percento, e i falsi positivi possono essere contrassegnati per garantirsi che non venga più rilevato in futuro. E’ possibile lo scan incrementale anche solo dei file aggiornati.

Le vulnerabilità supportate e immediatamente rilevate sono quelle di SQL injection, Code injection, Buffer overflow, Http splitting, DoS, Url redirection, Cross-Site Scripting e molte altre. Spetta agli addetti alla sicurezza semplicemente impostare le policy e usare Checkmarx per applicarle in automatico.

La soluzione si innesta integrandosi direttamente con i repositories più conosciuti nel proprio SDLC (Software Development Life Cycle), e sono disponibili plugin anche per ambienti di sviluppo interattivo, oppure si può arrivare all’integrazione tramite API. Si possono eseguire scansioni ovviamente anche delle applicazioni mobile di Android, iOs e Windows. Nello specifico, per quanto riguarda i sistemi di build management in cui si può integrare Checkmarx sono già disponibili i plugin per Jenkins, Bamboo, TeamCity, TFS, Anthill Pro.