GSS資安電子報0151期【持續耕耘資安領域,叡揚代理源碼檢測工具- Checkmarx榮獲Gartner評鑑為『2017應用安全測試魔力象限』領導者】
撰文及整理:叡揚資訊資安事業處
由叡揚資訊專業代理的以色列源碼檢測領導品牌Checkmarx,近日甫獲國際知名顧問機構Gartner於最新發布的『2017應用安全測試魔力象限』(Magic Quadrant for Application Security Testing)評比為領導者(Leaders)殊榮,超越參與同評比的八家廠商,報告中更指出Checkmarx在使用者體驗表現優異,同時具備容易上手及操作簡易等特點,得到用戶的高度評價。
Checkmarx的SAST解決方案CxSAST在北美、歐洲及亞太地區享有盛譽並廣受好評。此外,在過去一年裡,Checkmarx將Codebashing線上教學平台與先前的AppSec Coach進行整合,讓訓練模組更簡化並提供遊戲式介面,讓開發人員透過互動式線上學習平台輕鬆學習安全程式編碼,提供最專業且有效的訓練。除了SAST之外,Checkmarx也開始透過AppSec遠端顧問服務提供DAST服務,近期更發布IAST的解決方案,在AST領域內提供更完整的產品及服務。
Checkmarx可協助企業整合SAST(Static Application Security Testing)到軟體開發生命週期SDLC(Secure Development Life Cycle)中,可結合源碼版控系統、建構管理系統、問題追蹤系統及整合開發環境(IDE)。Checkmarx的解決方案CxSAST源碼靜態安全測試支援眾多程式語言,透過差異掃描及多引擎的掃描測試,可快速掃描並縮短掃描週期,更可量身訂製提供多樣特定應用功能。CxSAST強大技術獲得許多客戶肯定,不只能偵測識別原始碼漏洞,更提供最佳修復點,透過應用程式整體資料流程,偵測出漏洞關聯所在,一次進行大量修復,實現軟體修復最佳化。
AST(Application Security Testing)主要分為四種方式:
- Static AST 靜態AST(SAST)技術通常在開發或測試軟體生命週期(SLC)階段檢測應用程序的源始碼,分析原始碼或透過二分法查找安全漏洞。
- Dynamic AST 動態AST(DAST)技術在測試階段分析應用程序的動態運行狀態。模擬針對應用程序(通常是支援Web的應用程序和服務)的攻擊,分析應用程序的反應,進而判斷是否易受攻擊。
- Interactive AST 交互式AST(IAST)技術同時結合了SAST和DAST。為測試階段環境中的Agent(例如,測試Java虛擬機[JVM]或.NET CLR),以觀察操作或攻擊並識別漏洞。
- Mobile AST對字節或二分法執行SAST,DAST,IAST和/或行為分析,以識別行動裝置應用程序中的漏洞。
資料來源:
https://info.checkmarx.com/wp-gartner-application-security-mq-report
體驗課程資訊:
源碼檢測工具Checkmarx體驗營(歡迎於活動前上叡揚官網首頁>活動快訊 報名體驗課程)
2018/5/11(五)
2018/8/17(五)
2018/11/9 (五)
成功案例:
相關文章分享:
GSS資安電子報0149期【最新網頁常見10大風險- OWASP TOP 10 2017】
GSS資安電子報0139期【D-Link落實源碼檢測 持續創新引領趨勢】
GSS資安電子報0134期【應用系統安全系列:在 DevOps 中達成安全性】
