Controllo del Codice Web

 

L’analisi statica del codice ha in generale lo scopo di anticipare l'individuazione di potenziali problemi di vulnerabilità del codice. La base teorica è l'innegabile considerazione per cui più tardi s’individua un errore nel ciclo di vita del software, più alti saranno i costi di correzione.

L'analisi statica del codice è anche usata per verificare automaticamente la conformità del codice ai requisiti di sicurezza dell'applicazione come, per esempio, per l'autenticazione, l'autorizzazione, la registrazione e la convalida dell'input oppure per controllare se il codice aderisce agli standard di sicurezza di mercato tipo PCI, SANS, OWASP, SOX e quindi identificare il codice non conforme.

La soluzione che proponiamo, CheckMarx CxSuite, è un prodotto ad elevate prestazioni di nuova tecnologia che permette ai team di sviluppo e ai risk manager di effettuare l’analisi statica del codice all’interno del ciclo di sviluppo del software. La soluzione proposta è disponibile sia come prodotto che come servizio ed è composta dai seguenti moduli:

  • CxManager è lo strumento di gestione del progetto, con dashboard, difetti trovati, etc …
  • CxDeveloper è usato dagli sviluppatori per eseguire le query predefinite sugli scan effettuati e per interagire con i risultati per analizzare le vulnerabilità trovate e per risolverle.
  • CxAudit è usato sia per analizzare il codice sorgente che per verificare la conformità del codice a standard di mercato o ad-hocs.
  • CxViewer è lo strumento di sola visualizzazione usato dagli sviluppatori per interagire con il risultato dello scan eseguito con CxDeveloper o con CxAudit.
    I vantaggi della soluzione sono:
  • Bassa quantità di falsi positivi
  • Linguaggio di query (CxQL)
  • Modularità ed espandibilità
  • Completa indipendenza dal progetto o dal codice compilato
  • Elevate performance di scan
  • • Facilità d’uso

Il vero vantaggio della tecnologia CheckMarx è in realtà l’analizzatore lessicale del codice che, a differenza dei parser tradizionali, mette il codice in token e ne crea il modello in memoria, in moda da individuare con maggior precisione i percorsi critici (di vulnerabilità) – anche multipli - in tempo reale. Altri strumenti che utilizzano una classica analisi basata su regole statice, producono invece un elevato numero di falsi positivi.

I linguaggi di programmazione supportati sono: Java/J2EE, jscript, C/C++, APEX, tutte le versione del framework .NET, e tutte le versioni JVM.

Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la privacy policy.

Accetto i cookie da questo sito.

EU Cookie Directive Module Information