CxSuite® Enterprise Edition

Checkmarx® Suiteは、ソースコードに潜在する技術的・論理的なセキュリティ上の欠陥の「発見」から、原因の「特定」、「解決策」の提供までを兼ね備えた、優れたソースコード解析ソリューションです。

CxSuiteは、脆弱性タイプ、OSプラットフォーム、プログラミング言語、フレームワークを幅広くサポートすることで、使いやすく、優れた柔軟性を提供します。

CxSuiteをはじめとする、Checkmarxの静的ソースコード解析ソフトウェアは、既存ソフトウェア開発ライフサイクルへのシームレスな統合を実現し、低コスト・短時間でのソースコードの安全性の確保に向けた取り組みを応援します。

ソースコード上の潜在リスクを徹底的に管理

CHECKMARX特許技術 - バーチャルコンパイラ

ビルド前のコードスキャンが可能に。

バーチャルコンパイラは、環境や工程に依存しないソースコードチェックを可能にします。バーチャルコンパイラによって、開発者は、コンパイラやOSの互換性といった問題に悩むことなく、いつでもソースコードの安全性を確認することが可能です。

開発者が、コンパイル前の単体コードや、個々のモジュール、部分的なアプリケーションなどのソースチェックを実施することは、プログラムの安全性はもちろん、コーディングに対するセキュリティ意識の徹底やセキュリティプラクティスの向上にも、大変効果的です。

次世代のソースコード監査

品質監査部門によるソースコードテストを、ソフトウェア開発ライフサイクルの初期段階から可能にするのは、Checkmarxだけです。
更に、部分チェックを実施する際には、開発環境の複製を考慮する必要がありません。
この特長によって、複雑なレガシーアプリケーションの監査も、特別な事前設定無しに、短時間で調査することが可能です。

CxSuiteが提供する高い精度とその有効性：

広範囲・多岐に渡る脆弱性チェック
限りなくゼロに近い誤検知率
すぐに使える、数々のセキュリティクエリ
業務ロジックにも適用できる脆弱性調査
ソフトウェア開発ライフサイクルとのシームレスな統合
各解析結果に対する根拠の説明と追跡機能
解析結果のグラフィカル表示

精度への追求

脆弱性の可視化は、ソースコードにおいて不可欠です。
CxSuiteは、ソースコード上で発見された脆弱性のフルパスと解析結果を提供します。
更に、独自エンジン（特許取得）によって、ソースコード上でグラフィカルな攻撃パスが確認できることで、コードレビューの効率化を可能にします。
これらの特長により、ユーザ企業は、簡単かつ過度な労力を費やすことなく、攻撃を受けやすい箇所を特定し、修正することが可能です。CxSuiteは、完全な攻撃フローを明示化し、限りなくゼロに近い誤検知（False-positive）率で、精度の高い解析結果を提供します。

業界における脆弱性タイプ：

Open Web Application Security Project（OWASP）トップ 10 / SANSが選ぶ脆弱性トップ20 /
情報処理推進機構（IPA）共通脆弱性タイプ一覧CWE（公開元:米国MITRE Corporation）

CxSuiteが提供する、脆弱性の危険度別カテゴリ：

高リスク / 中リスク / 低リスク / 推奨コーディングプラクティス

スキャン結果が脆弱性の場所を分かりやすく指摘

搭載済み脆弱性クエリの一例 :

SQLインジェクション /  クロスサイト・スクリプティング /  コードインジェクション /
バッファー・オーバー・フロー  /  パラメータの改ざん /  クロスサイト・リクエスト・フォージェリ / HTTP分割攻撃 /  ログの偽造 /  サービス妨害（DoS） /  セッションの固定化 /
セッションポイズニング /  ハンドルされていない例外解放されていないリソース /
不適切な入力確認 / URLリダイレクト攻撃 /  危険なファイルアップロード /
ハードコーディングされたパスワード /   その他、多数…

特長

高い精度 - 誤検知（False-positive）のほぼゼロを実現し、ソフトウェア開発ライフサイクルに適した効果的なソリューションを提供

バーチャルコンパイラ（特許取得） - コンパイラなしで、ビルド前のソースコードに対してもスキャンが可能

攻撃フローの可視化 - 脆弱性の完全な攻撃パスを表示し、調査負荷を軽減

次世代クエリ言語 - 直観的なクエリ言語で、ニーズに応じたチェックの実装を支援

幅広い脆弱性タイプをカバー - すぐに使えるセキュリティチェックを多数搭載

業務ロジックの脆弱性評価 - 構造上の欠陥も発見できる独自機能

コーディング基準準拠の強化 - クエリをカスタマイズし、プログラミング方針の準拠評価が可能

階層的ユーザ権限管理 - 組織に合わせた様々なユーザ権限管理

結果レポート＆エクスポート - プロジェクト・タスク毎のレポートはダッシュボードから閲覧。また、xml、csv等、数々のエクスポート形式をサポートしている他、チケットシステムとの統合も可能

多層アーキテクチャ対応 - 管理サーバ、複数のスキャンエンジン、シンクライアントなど

ソフトウェア開発ライフサイクルとの効果的な統合を可能にするCxSuiteの拡張性：

• プロジェクトサイズは、ほぼ無制限
• 多数のOSプラットフォーム、主要な開発言語をサポート
• Webサービス、Webサイト、クライアント・サーバ型アプリケーションに対応
• 徹底した、コーディング基準、法規制要件への準拠（PCI、JSOXなど…）
• 即利用可能なセキュリティチェック及び、コンプライアンス基準の、豊富な選択肢

CHECKMARXについて

Checkmarxは2006年に設立された、ソースコード解析のリーディングカンパニーです。

Checkmarxが提供する、ソースコードレビューの自動化ソリューションは、現在、国内外の幅広い業界で使用されています。
技術的な脆弱性と論理的な脆弱性の両方を特定できる、「クエリ言語ベース・ソリューション」という独自コンセプトを開発したCheckmarxは、自社のビジョンである「ハッカー・フリー・ワールド」の実現に向けて、今後も革新的なソリューションを提供し続けます。
