about checkmarx french...• identification des failles de logique commerciale • intégration dans...
TRANSCRIPT
Checkmarx Suite®
CHECKMARX
CxSuite
SOURCE CODE ANALYSISCxSuite®
Checkmarx Ltd. • +1.917.470.9501 • www.checkmarx.com • [email protected]
Des rapports détaillés vous aident à visualiser et privilégiervotre travail en maximisant votre e�cacité.
SOLUTION BREVETÉ
COMPILATEUR VIRTUEL Scanner un code non compiléLe compilateur virtuel permet aux développeurs de tester uncode partout, n’importe quand, tout en évitant les problèmesde compatibilité du compilateur et du système d’exploitation. Les développeurs peuvent tester un code non compilé etdissocié, leurs modules indépendants ou tout autre sous-ensemble d’application directement depuis leur IDE (Environnement de Développement).
LA NOUVELLE GÉNÉRATION DES AUDITS DE CODE Seul Checkmarx permet aux auditeurs de tester un code dès lespremières étapes du SDLC. Ils peuvent également e�ectuer aisément des contrôles sans s’inquiéter de la reproduction des environnements de développement. Ceci est particulièrement important pour les applications patrimoniales complexes où les véri�cateurs peuvent inspecter rapidement le code sans réglage.
Gestion des risques est la solution d’Analyse de Code Source
(SCA) la plus puissante conçue pour identi�er, tracer, et corriger les failles de sécurité à la racine: le code-source.
CxSuite o�re un haut niveau de �exibilité et de con�guration en prenant en charge une large gamme de catégories de vulnérabilités, de plateformes de système d’exploitation (OS),de langages de programmation et de structures. En s’intégrant dans le Cycle du Développement du Logiciel (SDLC), cette solution d’analyse de code automatique Checkmarx permet aux organisations d’aborder le dé� de sécuriser une application tout en réduisant le temps et les coûts.
Sécurité des Applications
est conçu pour des résultats précis et e�caces• La gamme la plus large de vérifications de vulnérabilités • Presque zéro résultats faux-positifs• Des centaines de traçages aux fins de sécurité “out-of-the-box” • Identification des failles de logique commerciale • Intégration dans le SDLC• Vérification complète et traçage de chaque résultat • Représentation graphique des vulnérabilités découvertes
La précision avant toutLa visualisation des vulnérabilités est la clé d’une correctionrapide d’un code vulnérable. Le moteur de la solution CxSuitelocalise et présente graphiquement un chemin d’attaque complet du code pour une compréhension rapide. Cette option permet une identi�cation facile des emplacements idéaux pourcorriger le code.
Langages de développement
OWASP top 10, SANS 25, PCI, mitre CWE
Checkmarx Ltd. • +1.917.470.9501 • www.checkmarx.com • [email protected]
CLASSIFICATION DES VULNÉRABILITÉS SUPPORTS DES STANDARDS
Exemples de requêtes de vulnérabilité “out-of-the-box“: • SQL Injection• Cross-Site Scripting (XXS)• Injection de code • Buffer overflow• Falsification de paramètres• Cross-site request forgery (CSRF, XSRF)• HTTP splitting• Log forgery• DoS (Déni de Service)
• Session fixation• Session poisoning• Exceptions non gérées• Unreleased resources• Validation de paramètre en entrée• Attaque de réacheminement URL• Téléchargement de fichiers dangereux • Mot de passe codé en dur• Et bien plus…
CAPACITÉS
Extrêmement précisdans les resultats
Le taux de faux positif proche de zéro permet de s’inclure dans le SDLC e�cacement
DESCRIPTION ET AVANTAGES
Analyse Des ScansIdenti�er rapidement l’emplacement exact dans le code pour supprimer chaque vulnérabilité.
Des nombreuses options d’extensibilité pour une intégration e�cace dans le SDLC: • Le nombre de projets est quasiment illimité• Il gère presque tous les types de langage de développem- ent à partir de multiples plateformes • Web- Service- supporte les sites web et les applications client- server• Il applique les pratiques de développement et normes réglementaires (PCI, HIPAA, SOX, et bien plus...)• Des centaines de vérifications de sécurité "out-of-the-box" et normes de conformité
Checkmarx est le principal distributeur pour l’analyse de code-source. Fondé en 2006, Checkmarx offre des solutions complètes pour les Audits de code sécurité automatisées. Sa technologie est utilisée par de grandes organisations et des PME de tous les secteurs. Checkmarx a lancé le conceptd’une solution basée sur le langage de requête a�n de rechercher les vulnérabilités des codes techniques et logiques, et continue d’apporter de nouvelles solutionsinnovantes sur le marché a�n d’accomplir sa vision d’un monde sans piratage informatique.
Compilateur virtuel breveté
Permet de Scanner le code sans le compiler
Visualisation du vecteur d’attaque
Les vecteurs d’attaque des vulnérabilités sont présentés entièrement pour une analyse simpli�ée
Langage de requête nouvelle génération
Un langage de requête intuitif est disponiblepour adapter les contrôles selon les besoins du client
Couverture des vulnérabilités sécurité et métier
Des centaines de vérifications de sécurité “out- of-the-box” adaptées pour votre organisation
Bonne pratique de développement
Capacité incomparable de traçage des faillesarchitecturales
Gestion d’utilisateurspar rôle
Gestion étendue des utilisateurs et des rôles
Rapport des résultats etexportation customisable
Tableau de bord des Projets. Exportation sousde nombreux formats: PDF, XML, csv, etc. Intégration aux outils de Bug Tracking
Architecture multi-tiers Gestionnaire centralisée avec multi- moteurs scan
À PROPOS DE CHECKMARX
Langages de développement
Sécurité des Applications
Passez moins de temps à corriger et plus de temps à agir
GAGNER DU TEMPS
Représentation Graphique
Checkmarx Ltd. • +1.917.470.9501 • www.checkmarx.com • [email protected]
La gestion de milliers de résultats peut vite devenir très complexe mais la Représentation Graphique vous aide! Toutes les vulnérabilités du code-source sont présentées avec leur vecteur d’attaque complet et un graphe des vulnérabilités activant la détection de “l’emplacement idéal de correction”.
La Représentation Graphique vous permet de:
La Représentation Graphique vous permet de corriger facilement vos vulnérabilités à l’emplacement idéal. Cela vous fait gagner des heures avec des applications où les �ux de données sont complexes en raison de milliers de références possibles au problème. La Représentation Graphique est même accessible à partir
L’emplacement idéal de correction La représentation Graphique vous montre l’emplacement idéal dans le code pour corriger les vulnérabilités. Fourni des recommandations automatiques des emplacements idéaux de correction mais possède aussi un mode manuel. Une analyse d’hypothèses peut s’appliquer et être e�ectuée dynamiquement.
Assurez-vous de savoir à quoi vous avez a�aireESTIMATION DE LA CHARGE D’EFFORTS
La Représentation Graphique identifie les meilleurs emplacements pour corriger le code. De ce fait, les développeurs peuvent mieux estimer le temps requis pour corriger les vulnérabilités a�n de sécuriser leur application.
Résolvez 20 vulnérabilités dans WebGoat en effectuant des corrections en un seul endroit!
L’emplacement idéal de correction
Reconnaitre les corrélations entre les différentes vulnérabilitésComprendre les répercussions de chaque faille surle code et l’emplacement idéal de correctionSélection des "ilots" de vulnérabilités basé sur leur hiérarchie Prioriser et corriger efficacement les vulnérabilités identi�ées Une analyse d’hypothèses peut s’appliquer et être e�ectuée de manière dynamiqueSupprimer les faux-positifs en un seul clicAdaptation à des dizaines de milliers de résultats
Checkmarx Ltd. • +1.917.470.9501 • www.checkmarx.com • [email protected]
SIMPLIFICATION DE CORRECTIONPAR LE GRAPHE
La représentation Graphique propose des recommandations sur la manière de corriger et de sécuriser votre code.
Par exemple, en ne corrigeant que 3 points dans le code, nous avons pu résoudre 14 vulnérabilités au sein de la hiérarchie.
1. Regrouper desnœuds identiques
2. Simpli�er les chemins à l’aide de l’homographie
Passez moins de temps à rechercher des problèmes qui n’en sont pas
ÉLIMINER LES FAUX-POSITIFS
Vous pouvez facilement détecter les faux-positifs en sélectionnant un nœud dans le graphe et en le “taggant” de “non exploitable”. Checkmarx s’en rappelle lors des scans suivants, s’ensuit une amélioration continue dans la précision des résultats.
COMMENT CORRIGER EFFICACEMENT LES VULNÉRABILITÉS Emplacement idéal de correction Corriger des vulnérabilités de sécurité avec Checkmarx est simple- notre moteur suggérera automatiquement les emplacements idéaux pour corriger les vulnérabilités. La représentation Graphique vous permet de visionner toutes les failles de votre code en quelques minutes. Il identifie les points de jonction essentiels et optimise les efforts de correction.
Emplacement idéal de correction
Sécurité des Applications