IoT & AI

  • IoT AI
  • Checkmarx
제품문의

Checkmarx

개요

오늘날 전 세계 보안 취약점의 75% 이상이 어플리케이션에서 발생하고 있는 만큼, SW의 전체 구성요소에서 어플리케이션의 보안은 매우 중요하다고 볼 수 있습니다. Checkmarx(체크막스)는 보안 문제를 유발하는 소프트웨어 보안 취약점을 쉽고 빠르게 검출하여 보안성을 극대화하는 가장 강력한 어플리케이션 보안 취약점 검출 도구입니다.

주요 기능

  • Uncompiled Source Code Scanning
    • 소스 코드를 작성하면서 동시에 취약점을 확인하고 제거하여 개발 기간 단축
  • Vulnerability
    • 검출된 취약점의 수정 우선순위를 제공하여 효율적으로 보안성 개선 가능
  • Attack Vector Specification
    • 검출된 취약점의 원인 파악 후 예상되는 해킹 경로의 정보까지 제공하여 신속한 대응 방안 마련
  • Remediation Advice
    • 초보자도 쉽게 학습하고 적용 가능한 보안 취약점 개선 방안 가이드 제공
  • Graph, Best Fix Location
    • 다수의 취약점을 한 번에 제거할 수 있는 코드 위치 정보를 제공하여 코드 수정은 최소화하고, 보안성 향상은 극대화

특징점

모든
  • 모든 주요 개발 언어 지원
    • 프로그래밍 언어 및 스크립트 언어 20가지 지원
    • 지속적인 업데이트를 통해 최신 개발 환경 지원
    • 원클릭 분석 (언어별 설정 불필요)
  • 보안 취약점에 대한 빠른 대응
    • Best Fix Location 알고리즘을 적용하여 최적의 수정 위치 제공
    • 정확한 수정 방안을 제시하여 보안 전문가가 아니더라도 쉽게 수정 가능한 가이드 제공
    • 보안 취약성 개선을 위해 소요되는 시간 절약
보안
오픈
  • 오픈 소스 취약점 분석
    • 오픈 소스의 보안 취약점과 개선 방안 제공
    • 오픈 소스 라이선스 위반 여부 검사
  • 광범위한 보안 취약점 검토
    • 알려진 보안 취약점 대부분을 검사
    • 주요 보안 표준 적용
      • 웹 어플리케이션: OWASP Top 10, 행정안전부 시큐어코딩
      • 미국방부: DISA-STIG
      • 의료: HIPAA
      • 금융: PCI DSS
      • 자동차: MISRA
      • 소프트웨어 보안 취약성: CWE
      • 미 연방 정보 보안 관리법: FISMA
      • 기타 표준 - SANS 25, BSIMM
    • 각 산업별 표준에 맞게 보안 취약점 개선 방안 제공
광범위한
보안
  • 보안 정책 자동화
    • 대부분의 IDE, 빌드 관리 서버, 버그 추적 도구, 소스 저장소와 완벽한 통합 기능 제공
    • Software Development Life Cycle 필수 요소
    • 개발 제품의 보안 테스트 품질 향상
  • 다양한 개발환경과 통합 및 자동화 지원

    다양한

Checkmarx에서 분석하는 주요 취약점

HIGH RISK MEDIUM THREAT LOW VISIBILITY
CGI Stored XSS Buffer Overflow Blind SQL Injections
Code Injection CGI Reflected XSS All Clients Client Side Only Validation
Command Injection CGI Stored XSS Cookie not Sent Over SSL
Connection String Injection CGI XSS Dangerous File Upload
LDAP Injection Cookies Scoping Dead Code
Process Control Cross Site History Manipulation Deprecated And Obsolete
Reflected XSS DB Paramater Tampering Deprecated CRT Functions VS2005
Reflected XSS All Clients Dangerous Functions DoS by Unreleased Resources
Resource Injection Data Filter Injection Equals without GetHashCode
SOQL SOSL Injection DoS by Sleep Escape False Warning
SQL injection Double Free Files Canonicalization Problems
Second Order SQL Injection Environment Injection Hardcoded Absolute Path
Stored XSS Environment Manipulation Hardcoded Password
UTF7 XSS Files Manipulation Password in Connection String
XPath Injection Frame Spoofing Impersonation Issue