АНАЛИЗ ИСХОДНОГО КОДА НА ПРЕДМЕТ НАЛИЧИЯ

АНАЛИЗ ИСХОДНОГО КОДА НА ПРЕДМЕТ НАЛИЧИЯ УЯЗВИМОСТЕЙ
CHECKMARX SUITE®
Краткая
справочная
информация
для специалистов по информационной безопасности и информационным технологиям, системных интеграторов, бизнес-партнеров и заказчиков
В данном документе в краткой табличной форме
приведена основная справочная информация по
продукту «Checkmarx Suite®» , разработанному
компанией «Checkmarx»
Полное или частичное копирование, использование, а
также публичные ссылки на данный документ
недопустимы без письменного разрешения на это
компании “Интернейшнл АйТи Дистрибьюшн”
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Термин/
Определение
API
CLI
IDE
POC
Описание
Интерфейс программирования приложений (англ. Application Programming Interface) - набор готовых классов, процедур, функций, структур и констант, предоставляемых приложением (библиотекой, сервисом) для использования во внешних программных продуктах. Используется программистами при написании всевозможных приложений.
Интерфейс командной строки (англ. Command Line Interface) - разновидность текстового интерфейса.
Интегрированная среда разработки (англ. Integrated Development Environment) - система программных средств, используемая программистами для разработки программного обеспечения.
Подтверждение концепции (англ. Proof Of Concept) – развертывание ПО для демонстрации,
заявленных в спецификации, возможностей программного обеспечения.
КРАТКАЯ ИНФОРМАЦИЯ О ПРОДУКТЕ
Параметр
Checkmarx Suite®
Основные потребители
Уникальные возможности
Описание
Checkmarx Suite® представляет собой современное решение для статического
анализа исходного кода на предмет наличия уязвимостей, позволяющее выявлять, контролировать и устранять проблемы безопасности на уровне разработки программного обеспечения.
CxSuite распознает множество уязвимостей из разных категорий, поддерживает
максимальное количество операционных систем, языков программирования и
сред разработки.
Возможность встраивания в цикл разработки позволяет решать проблемы с
безопасностью по мере написания кода, и тем самым существенно экономить
время и ресурсы.
 Государственные и коммерческие предприятия, заинтересованные в аудите, используемого заказного программного обеспечения;
 Финансовые организации и банки, использующие ПО собственной разработки;
 Организации, занимающиеся разработкой или сертификацией ПО;
 Сканирование исходного кода без компиляции;
 Наличие встроенного интуитивно понятного языка запросов, позволяющего
адаптировать процесс анализа кода к конкретной задаче;
 Выявление «критичных точек» в коде, изменения в которых, позволяют
устранить ряд связанных уязвимостей;
 Возможность интеграции в применяемую в организации, систему разработки
ПО;
 Поддержка большинства современных языков программирования и систем
разработки ПО.
ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИ СИСТЕМЫ
Параметр
Поддержка наиболее распространенных языков программирования
Описание








Java
Microsoft C#.net
PHP
C/C++
Microsoft Visual Basic
VB.NET
Java Script
Apex
Параметр
Высокая точность анализа
Запатентованная технология
Virtual Compiler
Опция инкрементального сканирования
Визуализация атак
Собственный язык запросов
Широкие возможности поиска
уязвимостей
Типовые запросы на поиск
уязвимостей
Обеспечение соответствия
требованиям бизнес логики
Обеспечение соответствия
лучшим практикам программирования
Поддерживаемые стандарты
Реализация ролевой модели
доступа
Создание отчетов и экспорт
результатов
Многоуровневая архитектура
Описание
 Ruby
 Perl
 ASP.net
 Python
 PL/SQL
 HTML5
 Windows Mobile
 Android
 Objective-C
Если выявленная проблема не является таковой, соответствующий участок
кода можно отметить, и тогда Checkmarx при последующих проверках не будет выделять подобные участки как уязвимые.
 Сканирование кода без компиляции;
 Сканировать можно несвязные файлы, отдельные модули или какие-либо
иные объекты приложения, в привычной среде программирования.
При проведении повторного сканирования отсутствует необходимость пересканирования неизмененного фрагмента кода. Автоматически будет пересканирована только измененная часть кода,
Графическое отображение векторов потенциальных атак.
Интуитивно понятный язык построения запросов позволяет максимально
адаптировать анализ кода к особенностям анализируемого приложения.
 Наличие "из коробки" нескольких сотен готовых запросов на поиск уязвимостей;
 Графическое представление выявленных уязвимостей;
 SQL-инъекции
 Межсайтовый скриптинг
 Инъекции в код
 Переполнение буфера
 Подмена значений параметров
 Подделка межсайтовых запросов
 Разделение HTTP-запросов
 Подмена журналов
 DoS-атаки
 Фиксация сессии
 Заражение сессии
 Необработанные исключения
 Неосвобожденные ресурсы
 Ввод данных без проверки
 Перенаправление на подменный URL
 "Зашитое" в код фиксированное значение пароля
 Загрузка потенциально небезопасных файлов
 И др.
Возможность поиска не соответствующего заявленным возможностям, функционала, в коде приложения
Наличие "из коробки" типовых запросов и шаблонов соответствия отраслевым
стандартам (PCI, HIPAA, SOX, и др.).
OWASP Top 10 2013, OWASP Mobile Top 10, SANS 25, PCI DSS, HIPAA, Mitre
CWE, FISMA, BSIMM, MISRA
Права доступа пользователей, определенные в соответствии с ролевой моделью CxSuite, обеспечивают доступность проектов и связанных с ними результатов сканирования. Полномочия по управлению правами доступа пользователей также определены в ролевой модели.
Наличие необходимых средств- для создания отчётов по задачам и проектам.
Экспорт в форматы xml, csv и др. Интеграция с системами обработки заявок.
Сервер управления, способный обеспечить сканирование проекта параллель-
Параметр
Возможность масштабирования и встраивания в цикл разработки
Описание
но на необходимом количестве “движков”. Возможность использования «тонких» и «толстых» клиентов.
 Возможность работы с проектами, практически любого объема
 Возможность интеграции в применяемую в организации, систему разработки ПО
СРЕДА ФУНКЦИОНИРОВАНИЯ
Назначение
Централизованная архитектура (POC)
Количество строк
кода
150K
300K
ОС
Веб сервер
Windows XP, 7
Windows Server
2003, 2008, 2012
(Ultidev может
быть установлен
вместе с CxSuite)
Другое ПО
200K
Централизованная архитектура (Промышленная)
600K
1.2M
4M
CxEngine(Промышленная)
Несколько CxEngine серверов
(для параллельного сканирования),
каждый сервер должен соответствовать указанным требованиям.
CxManager (Промышленная)
Windows Installer
3.1 или выше
NET framework
3.5 SP1 или выше
2M
200K
600K
Windows Server
2003, 2008, 2012
IIS 6/7/8
1.2M
2M
4.5M
IIS 6/7/8
Database (Промышленная)
SQL Сервер
(Express не рекомендуется)
2005/2008/2012
Для CxSuite веб клиента, рекомендуется использовать дисплей с разрешением не менее 1280 x 1024.
АППАРАТНОЕ ОБЕСПЕЧЕНИЕ
Назначение
Централизованная архитектура (POC)
Централизованная архитектура (Промышленная)
CxEngine(Промышленная)
Несколько CxEngine серверов
(для параллельного сканирования),
каждый сервер должен соответствовать указанным требованиям.
Количество
строк кода
Оперативная
память
150K
300K
200K
600K
1.2M
2M
4M
200K
1.5 GB
3 GB
6 GB
10 GB
16 GB
24 GB
44 GB
2 GB
600K
6 GB
1.2M
12 GB
2M
20 GB
4M
45 GB
Количество
ядер процессора
Частота процессора
Объем дискового пространства
2
2 GHz
5 GB
Минимум: 3
Рекомендовано: 6
Минимум:
2,3 GHz
Рекомендовано: 2.8 GHz
Минимум: 2
Рекомендовано: 4
Минимум:
2,3 GHz
Рекомендовано: 2.8 GHz
250 GB
50 GB
Назначение
CxManager (Промышленная)
Database (Промышленная)
Количество
строк кода
Оперативная
память
Минимум:
2 GB
Рекомендовано:
4 GB
Количество
ядер процессора
Частота процессора
2
Минимум:
2 GHz
Рекомендовано: 2.5 GHz
Объем дискового пространства
250 GB
50 GB
АРХИТЕКТУРА CHECKMARX SUITE®
Компоненты
CxEngine
Database
CxManager
SxSuite Web Interface
IDE Plugins
CxAudit
Описание
Компоненты сервера
Осуществляет сканирование программного кода
Осуществляет хранение результатов сканирования и системные настройки. Для
рабочего применения рекомендуется использовать MS SQL Server. Для POC
может быть установлена VistaDB, поставляемая вместе с CxSuite.
Осуществляет все системные функции и управление системой, объединяет все
системные компоненты. Для работы рекомендуется использовать IIS Web Server. Для POC может быть установлен UltiDev, поставляемый вместе с CxSuite.
Клиентские компоненты
Веб интерфейс для управления проектами сканирования и анализа кода.
IDE плагин позволяющий интегрировать сканирование и результаты сканирования кода непосредственно в среду разработки ПО.
Клиентское Windows-приложение, которое взаимодействует с CxSuite сервером
через HTTP. CxAudit используется для модификации стандартных запросов
CxSuite для нестандартного кода. Это помогает в устранении ложных срабатываний и гарантирует достоверность всех обнаруженных уязвимостей. CxAudit
позволяет выполнять сканирование проекта и модифицировать запросы анализа кода локально, и затем принимать решение о синхронизации результатов
сканирования и/или модифицированных запросов с сервером. CxAudit проекты
могут синхронизироваться с сервером CxSuite вместе с результатами последне-
CxConsole
API Scripts
го сканирования, или сохраняться в локальный или сетевой папке, чтобы создать новый проект. CxAudit включает в себя интерфейс для просмотра и редактирования результатов сканирования, похожий на веб-интерфейс в CxSuite.
Интерфейс командной строки для запуска сканирования кода в CxSuite. Может
использоваться для встраивания вызовов в программное обеспечение разработки ПО.
CxSuite API предоставляет разработчикам возможность создавать клиентские
скрипты для работы с CxSuite проектами.
CxSuite поддерживает централизованную архитектуру, где все серверные компоненты установлены на одном
хосте, или распределенную архитектуру, где каждый или все серверные компоненты установлены на выделенных узлах.
Поскольку один CxEngine сервер может выполнять сканирование только одного проекта, для повышения
производительности можно использовать несколько CxEngine серверов для параллельного сканирования
отдельных частей одного проекта, либо нескольких проектов одновременно. Каждый CxEngine сервер может
обрабатывать более 100К строк кода в час.
Коммуникации между клиентами и CxManager, и связь между CxManager и CxEngine осуществляется через
HTTP или HTTPS.
КАК ЭТО РАБОТАЕТ
Параметр
Технология
Virtual Compiler
Поиск уязвимостей
Поиск несоответствия
функциональным возможностям
Анализ на соответствие
стандартам
Создание отчетов и экспорт результатов
Реализация ролевой модели доступа
Описание
Сканирование кода осуществляется путем загрузки в систему любого фрагмента кода приложения, написанного на любом из поддерживаемых языков программирования без необходимости компиляции.
Анализ кода производится с применением множества готовых шаблонов запросов для поиска уязвимостей. Шаблоны разработаны для каждого поддерживаемого языка программирования. Любой запрос может быть модифицирован
пользователем системы под свои конкретные задачи. Результат анализа отображает уязвимости с соответствующими векторами атак, сопровождая данные
графами. Графы позволяют найти те фрагменты кода, так называемые, критичные точки, изменение которых помогут устранить сразу все подобные уязвимости, находящиеся ниже в иерархии. Доступ к графам возможет прямо из среды разработки. Графы позволяют:
 Выявлять связи между однотипными уязвимостями
 Оценивать волновой эффект уязвимости во всём коде и определять оптимальное место для её устранения
 Выполнять операции с уязвимостями, основываясь на их иерархии
 Выделять наиболее приоритетные проблемы для их более эффективного
решения
 Выбирать лучший из возможных методов решения проблемы
На основе готовых шаблонов или полностью самостоятельно, пользователь
системы может сформировать необходимый набор запросов, позволяющий
выявить в коде сканируемого приложения программные модули, не соответствующие заявленной функциональности.
Применение готовых шаблонов, их модификаций и разработанных пользователями CxSuite, собственных запросов, позволяет оценить соответствие сканируемого приложения отраслевым стандартам и лучшим практикам разработки ПО.
Отчеты, содержащие всю необходимую информацию о результатах сканировании, можно создавать в следующих форматах:
 PDF
 RTF
 CSV
 XML
Пользователям CxSuite может быть присвоена одна из следующих ролей:
 Scanners: может создавать проекты для своей команды, сканировать и просматривать результаты всех существующих проектов своей команды.
 Reviewers: может просматривать результаты сканирования проектов, со-
Возможность масштабирования и встраивания в
цикл разработки
зданных в своей команде, но не может создавать или сканировать существующие проекты.
 Company Manager: может создавать и управлять проектами для любой из
команд компании, а так же создавать и управлять командами и пользователями компании.
 Service Provider (SP) Manager: может создавать и управлять проектами
любой из команд SP компании, а так же создавать и управлять командами и
пользователями SP компании.
 Server Manager: администратор пользователей. Имеет полный набор привилегий для всей системы, включая все вышеперечисленные. Так же обладает правами на конфигурирование системы.
Специальные IDE плагины позволяют интегрировать CxSuite в следующие системы:
 Eclipse
 Visual Studio
 IntelliJ
 Jenkins
ПРИЛОЖЕНИЕ 1
ОПЕРАЦИОННЫЕ СИСТЕМЫ И СРЕДСТВА РАЗРАБОТКИ, ПРОТЕСТИРОВАННЫЕ НА СОВМЕСТИМОСТЬ С CXSUITE 7.1.6
Windows
Browsers
Eclipse
(for
plugin)
Visual
Studio
(for
plugin)
IntelliJ
(for
plugin)
Jenkins
(for plugin)
Как 32-bit так и 64-bit, версии
могут быть использованы:
Internet Explorer
7-11
Safari 5
Chrome 37
Firefox 33
3.5.2 –
4.3.1
2005
2008
2010
2012
2013
11.1.5
12.1.3
7.1.4.0-12
Enterprise
XP, 7
Server 2003, 2008, 2012
ПОДДЕРЖИВАЕМЫЕ ЯЗЫКИ ПРОГРАММИРОВАНИЯ
Следующие языки программирования поддерживаются в версии CxSuite 7.1.6:
Среда программирования
Первичные языки
программирования
Вторичные языки
программирования
Frameworks
Расширения
файлов
Java
Java
J2SE
J2EE
JSP
JavaScript
VBScript
PL\SQL
HTML 5
Struts
Spring MVC 2.5
iBatis 2.3*
GWT
Hibernate
OWASP ESAPI
JSTL FMT Taglib
ATG DSP Taglib
Java Server Faces
(JSF) 2.x
.javasln
.project
.java
.jsp
.jspf
.tag
.tld
.NET
C#
VB.NET
ASP.NET
JavaScript
VBScript
PL\SQL
HTML 5
Enterprise Libraries
Telerik
ComponentArt
Infragistics
FarPoint
iBatis 2.3*
Hibernate.Net [*]
Entity framework up
to 4.3.1
.sln
.csproj
.cs
.cshtml
.xaml
.vb
ASP
ASP
JavaScript [**]
VBScript
PL\SQL
HTML 5
ASP.Net MVC
framework
.asp
VB
VB6
.bas
.vbp
Среда программирования
Первичные языки
программирования
Вторичные языки
программирования
Frameworks
Расширения
файлов
.frm
.cls
.dsr
.ctl
.vb
C/C++
C/C++
MISRA
.cpp
.c++
.cxx
.hpp
.hh
.h++
.hxx
.c
.cc
.h
PHP
PHP
Zend 1.1
Kohana 3.0
CakePHP
Symfony
Smarty
OWASP ESAPI
.php
.php3
.php4
.php5
.phtm
.phtml
.tpl
.ctp
.twig
SalesForce
Apex
Ruby
Ruby
Ruby on Rails
.rb
.rhtml
.rxml
.rjs
.erb
JavaScript
JavaScript
JQuery
Node.js
Ajax
Knockout
AngularJS 1.0.x,
1.2.x, 1.3.0
.js
.htm
.html
VisualForce
.apex
.apexp
.page
.component
.cls
.trigger
.tgr
.object
.report
.workflow
Среда программирования
Первичные языки
программирования
Вторичные языки
программирования
Frameworks
VBScript
Расширения
файлов
.vbs
Perl
Perl 5.005 – 5.14
Android
Java
iOS
Objective C
.pl
.pm
.plx
.psgi
iOS mobile
applications
.m
.h
.xib
HTML 5
PL\SQL
.pls
.sql
.pkh
.pks
.pkb
.pck
Python
Python
JavaScript
VB script
PL\SQL
Groovy
Groovy
JavaScript
VB script
PL\SQL
Django
.py
.groovy
.gsh
.gvy
.gy
Other
extensions:
.aspx
.ascx
.config
.xml
.cgi
.inc
[*] Требуются некоторые настройки.
[**] Только на стороне клиента
Запросы для поиска уязвимостей исполняемые в версии Checkmarx Suite 7.1.6 на 10 ноября 2014 г.
https://www.checkmarx.com/technology/supported-coding-languages/
ПРИЛОЖЕНИЕ 2
ЛИЦЕНЗИРОВАНИЕ
Основными параметрами для расчета стоимости лицензий и выработке требований к оборудованию являются:
1. Число одновременно сканируемых проектов;
2. Число строк кода по каждому из сканируемых проектов;
3. Периодичность выполнения сканирований;
4. Количество и роли (в соответствии с классификацией, представленной в таблице) сотрудников;
Решение предлагается пакетами, каждый из пакетов, кроме Cx-Single, может впоследствии расширяться путем добавления так называемых Add-On – базовых и пользовательских.
Для примера рассмотрим содержание пакета Cx-Starter, который включает:
∙
Cx-Server
1 шт. координирует работу до 8-ми модулей Cx-Engine, выполняющих
сканирование и пользователей, принимающих участие в процессе проверки/исправления кода;
∙
Cx-Engine
рование;
-
1 шт. -
сканирует и анализирует код, выполняет одно конкурентное скани-
∙
Cx-Auditor
1 шт. лицензия на пользователя, который авторизован на внесение изменений в язык запросов решения (позволяет добавлять описание уязвимостей и т.д.);
∙
Cx- Scanner 2 шт. лицензия на пользователя, авторизованного на запуск процесса
сканирования и просмотра результатов анализа;
∙
Cx-Reviewer 10 шт. тов сканирования онлайн;
лицензия на пользователя, авторизованного на просмотр результа-
ПРЕДЛАГАЕМЫЕ ТИПЫ ЛИЦЕНЗИЙ
Тип лицензии
Описание
Single Server/User
Cx-Single
Single User License (No add-on licenses allowed). Cx-Server + Cx-Engine + Cx-Auditor + CxScanner. Including 4-hour remote training.
Add-On - Base
Cx-Server
Module to coordinate up to 8 CxEngines and user management activity.
Cx-Engine
Module for code scanning and analysis. A single CxEngine can perform one concurrent scan.
Add-On - Users
Cx-Auditor
A user authorized to adjust and customize queries.
Cx-Scanner
A user authorized to initiate scans and review results.
Cx-IDE
A user authorized to initiate scans from Interactive Development Environments (including an
IDE plug-in)
Cx-Reviewer
A user authorized to interactively review scan results online.
Packages
Cx-Starter
Cx-Server + Cx-Engine + Cx-Auditor + 2 Cx-Scanners + 10 Cx-Reviewers deployed for multiserver multi-user usage for initial deployment only.
Cx-Advanced
Cx-Server + 2 Cx-Engines + Cx-Auditor + 5 Cx-Scanners + 20 Cx-Reviewers + 2 Cx-Training
Cx-Comprehensive
Cx-Server + 3 CxEngines + 2 Cx-Auditors + 20 Cx-Scanners + 50 Cx-Reviewers + 3 CxTraining.
Service*
* No partner discount. *not include travel & Expenses
Cx-Training
Training Day - 8 hours
Cx-PS
Professional Service Day - 8 hours