线上研讨会——DevSecOps的优势
随着连接的数量和广度在世界范围内呈指数级增长,将安全性集成到DevOps系统中比以往任何时候都更加重要。

被全球权威的行业分析机构Gartner评为
即将上线的且安全级别较高的新系统平台
存在用户资料等敏感机密信息的企业平台
互联网金融类存在资金流的企业平台
存在大量用户访问、高可用、高并发请求的网站
该银行已经通过黑盒、灰盒及人工渗透测试来发现应用软件的安全风险,需要引入白盒工具在软件生命周期的早期就发现安全问题,降低修复成本。Checkmarx不需要编译即可进行扫描,更早发现安全问题,并且可以发现黑盒、灰盒相对难以检测的移动端应用程序。并且Checkmarx提供丰富的插件和API支持,可以完美嵌入现有的DevOps环境。安全部门通过设置构建质量门,项目的扫描结果未通过安全阈值不允许部署,实现了DevSecOps闭环管理。通过代理商提供的服务,利用自定义规则逐渐消除误报、漏报问题,最终达到整个流程完全自动化。
在接触Checkmarx之前,某互联网企业的安全事业部门在代码审计方面主要面临的问题在于,市面上的白盒工具普遍误报率较高,往往需要付出大量额外的人力资源对工具扫描出的安全问题进行二次审计;而研发团队因业务需要,对各类常见框架均做了一定程度的修改,这无疑给扫描结果误报、漏报的情况雪上加霜。Checkmarx所提供的强大的自定义规则的能力,有效缓解了这一系列问题。该企业通过Checkmarx CxAudit工具,使用Checkmarx CxQL API,针对业内常用的语言、框架做了一系列扫描规则的优化,显著降低了误报率和漏报率,节约了审计成本的投入。经过一段时间的积累,项目的安全交付效率得到了极大的提升。
“使用Checkmarx比其他工具更容易” - Vitaly Osipov, Information Security Expert, Atlassian
“Checkmarx被我们的信息安全团队和我们的开发人员所喜爱” - Kobi Lechner, Information Security Manager, Playtech
“已检测超过25亿行代码,检测到200万个漏洞” - Security Team, Salesforce.com
“Checkmarx的技术是高度准确和易于使用的” - Yair Rovek, Security Specialist, LivePerson