Checkmarx CxSAST 是独特的源代码分析解决方案，可以识别、追踪源代码中的技术漏洞和逻辑漏洞，例如安全漏洞、合规问题和业务逻辑问题。

Checkmarx CxSAST主要由静态分析安全测试SAST和开源分析OSA两部分组成。

CxSAST无需搭建软件项目源代码的构建环境即可对代码进行数据流分析。CxSAST目前支持20种编程语言，如图。CxSAST自带各种编程语言已知安全漏洞的数百个预配置查询规则列表。CxSAST能够以静态报告（如PDF文档等）的方式提供扫描结果，也提供一种在线使用浏览器以交互界面的方式跟踪各漏洞在代码中的运行时的行为，并且提供漏洞潜在的风险、产生缘由和修复建议。使用CxSAST Audit工具，您可按照自己的安全性、质量保证和业务逻辑来配置查询规则，以解决漏报或者误报问题。

CxSAST支持20种编程语言

CxSAST部署在服务器上，用户可通过web界面或者IDE插件（Eclipse、 Visual Studio和 IntelliJ Idea）访问。

CxSAST可与软件开发周期中多种系统整合，如软件构建自动化工具（Apache Ant和Maven）、软件开发版本控制系统（GIT, SVN, TFS, Perforce）、漏洞跟踪和项目管理软件（JIRA）、代码仓库托管服务（GitHub）、应用程序漏洞管理平台（ThreadFix）、持续集成平台（Bamboo和Jenkins）、基于云的源代码分析工具（Salesforce）、持续代码质量检查平台（SonarQube）,如图1.3。

图CxSAST集成的第三方系统

软件安全不再是一个“可有可无”项。 

在早些年的软件开发中，安全性都是作为事后的想法而提出的。在单体应用和封闭网络的时代，这是可以接受的，因为基于周边的保护和IAM 工具就能起到很大的作用。但是，在当今高度连接、API驱动的应用程序环境中，这些传统工具却毫无用武之地。如今，任何一个软件组件或服 务都可以以多种方式进行调用并可能被滥用。再加上高度迭代的“DevOps风格”发布频率，很明显，安全管理与保证必须成为开发和交付过 程中持续且不可或缺的一部分。 

CxSAST的独特价值 

掌握您的软件安全并了解您的业务风险。

易于自动化 

通过IDE集成、自动化和管理服务为开发人员提供支持，并简化和保护持续集成/部署（CI/CD）。 

可执行的建议  

利用机器学习算法、相关性和用户定义规则智能地利用信息，生成快速、准确和可操作的结果。

 全面管理安全风险 

使团队能够定义和实施用于治理应用安全的策略，通过构建工具集成执行这些策略，并借助IT工作流支持管理修复工作。

精准修复  

CxSAST了解您的软件以及数据如何在应用程序中流动。其“最佳修复点”算法可自动突显修复问题的最佳位置，使开发人员能够在代码中的一个点修复多个漏洞。

更快找到漏洞 

与某些静态分析产品不同，CxSAST可扫描未编译的代码，不需要完成构建。没有依赖配置，切换语言时也没有学习周期。它甚至可以从开发者的IDE中运行。这使得组织可以在软件开发生命周期的早期使用CxSAST，从而大大减少修复编码错误耗费的成本和时间。

找到问题的根源  

借助Checkmarx，您可以查看所有扫描结果的理由和证据，以理解漏洞产生的根本原因。您不限于使用其他人使用的规则。Checkmarx开放式查询语言使用户能够完全掌握CxSAST背后的智力研究。

跨产品协同增效 

CxSAST是Checkmarx软件暴露风险管理平台的核心，可与平台中的所有产品以及总体管理与流程编排层集成。这些独特的集成可实现更大的扫描范围、更“干净”的结果，以及更智能的优先级和修复措施。通过单一管理平台，组织可以在一个位置轻松管理AppSec风险，并全面了解其软件暴露风险，帮助他们轻松规避风险并专注于最重要的工作。

公众号后台输入【CxSAST】获取