Checkmarx SAST(CxSAST) 是 Checkmarx 公司推出的企业级静态应用安全测试(SAST)商业工具,核心是无需编译 / 构建源码,直接扫描原始代码,精准识别安全漏洞、合规问题与逻辑缺陷,深度嵌入 DevSecOps 全流程Checkmarx。
目录
Checkmarx SAST 核心功能
- 多语言 / 框架全覆盖
支持35 + 编程语言、80 + 框架,含 Java、C#、Python、JavaScript/TypeScript、Go、PHP、C/C++、Kotlin、Swift 及大量遗留语言 / 框架Checkmarx。
- 无需编译直接扫描
直接读取 Git、GitHub、GitLab、Bitbucket、SVN 等仓库源码,无需构建 / 编译,适配 CI/CD 提交即扫Checkmarx。
- 精准漏洞检测与修复指引
- 内置数百条 OWASP Top 10、CWE、PCI DSS、HIPAA 等合规规则,支持自定义审计规则(Auditor)Checkmarx。
- 标注最佳修复位置,提供代码修复示例、风险等级、漏洞路径,支持 AI 自动生成修复代码(AI Security Champion)Checkmarx。
- 误报过滤、漏洞状态跟踪、历史对比、合规报表。
- 全流程集成能力
- IDE 插件(VS Code、IntelliJ、Eclipse):编码时实时扫描、即时告警Checkmarx。
- CI/CD 集成:Jenkins、GitLab CI、GitHub Actions、Azure DevOps 等,自动阻断高危漏洞提交Checkmarx。
- API/CLI/Web 控制台:集中管理、批量扫描、权限管控、报表导出Checkmarx。
- 企业级治理
支持分布式部署、多租户、项目分组、角色权限、统一安全策略、合规审计报表。
Checkmarx One – 面向 AI 时代的统一应用安全平台
覆盖人类代码与 AI 生成代码、供应链以及运行时风险的完整 AppSec 能力。面向 Agentic 开发生命周期(ADLC)的实时修复。
从代码扫描到应用安全测试与监控,再到漏洞修复,Checkmarx One 帮助安全团队和开发者专注于最具可利用性、影响最大的风险,从而优先修复最关键的问题。
AppSec
💡 问题
安全团队被无尽的扫描结果和误报淹没。
✅ 更少噪音,更高信号
–> 按风险而非数量优先排序
Checkmarx One ASPM 跨引擎关联分析结果,筛选出可被利用且可采取行动的问题,使 AppSec 团队能够把精力集中在最重要的地方。
💡 问题
AppSec 发现的问题常常堆积在待办列表中,因为缺乏开发者上下文或理解。
✅ 修复更具可理解性
–> 在 IDE 中直接解释风险
Checkmarx One Assist 为开发者提供清晰的原因说明和修复指导,减少阻力并加速安全代码的采用。
💡 问题
关键漏洞由于责任不清或知识不足而长期未修复。
✅ 更快交付速度
–> 上下文感知 AI 修复
通过在 IDE 内提供修复指导并提前暴露优先问题,Checkmarx One 帮助 AppSec 团队降低平均修复时间(MTTR),同时不影响开发速度。
Developer
💡 问题
安全告警充斥开发者待办列表,却没有明确哪些真正重要。
✅ 明确需要修复的内容
–> IDE 中的 ASPM 优先级排序
Checkmarx One 仅展示会影响应用的漏洞,并按真实风险排序,让你保持专注,避免告警疲劳。
💡 问题
即使理解了问题,也很难知道如何安全修复。
✅ 自信修复
–> Agentic AI 修复指导
Checkmarx One Assist 在 IDE 中提供安全代码建议、上下文与重构帮助,让你更快、更安全地发现并修复问题。
💡 问题
在工具之间切换并在开发流程之外追踪问题会打断节奏。
✅ 保持开发流畅
–> 安全驻留在你的 IDE 中
Checkmarx One Assist 将安全能力集成到开发流程中,使开发者无需切换上下文即可编写、审查和修复代码。
CISO
💡 问题
难以判断哪些漏洞真正可被利用,哪些只是噪音。
✅ 可执行的发现结果
–> 上下文驱动的风险可视化
Checkmarx One 关联代码、依赖项和部署环境,突出真正可被利用的风险,使资源聚焦关键问题。
💡 问题
安全问题长期未解决,因为开发者将其视为阻碍或噪音。
✅ 赋能开发者
–> 开发者可信赖的 AI 指导
Checkmarx One Assist 将修复能力直接带入开发者 IDE,使安全成为工作流的一部分,而不是交接或冲突。
💡 问题
多个 AppSec 工具导致噪音、漏洞与碎片化流程,缺乏统一视图。
✅ 一个平台,全覆盖
–> 集中式 AppSec 与 ASPM
Checkmarx One 将 SAST、SCA、Secrets、IaC、ASPM 等整合到单一平台,提供全面安全态势并减少工具数量。
AI 原生 AppSec
优先处理真正重要的问题
随着 AI 重塑代码构建方式,分散的工具已无法跟上节奏,而攻击者正利用这一点。Checkmarx One 在单一平台中弥合 SDLC 与 ADLC 的差距,在风险上线之前将其阻断。
✅ AI 变化很快,风险更快
AI 扩大攻击面并以更快速度创建攻击路径。要跟上节奏,需要跨 ADLC 的实时可见性。
✅ 安全不应破坏构建流程
当安全能力在开发者工作环境中完成对接,问题可以立即修复——无需切换上下文、无延迟、无借口。
✅ 孤立工具会隐藏风险
分散的 AppSec 工具会掩盖真实风险。在没有统一视图的情况下,漏洞被忽视,暴露面扩大,团队只能追逐噪音。
Checkmarx SAST 9.5 安装教程
1、打开CxSAST.950.Release.Setup_9.5.0.100\third_party\.NET Core – Windows Server Hosting,安装dotnet-hosting-6.0.5-win
2、打开CxSAST.950.Release.Setup_9.5.0.100\\third_party\C++_Redist,安装vcredist_x64.exe
3、打开CxSAST.950.Release.Setup_9.5.0.100\\third_party\SQL_Express,安装SQL2019-SSEI-Expr.exe,选择基本类型安装
4、IIS
5、Java,此处为解压提供的软件包至一个固定目录
6、运行CxSetup.exe,选择多合一安装
7、选择安装位置,推荐使用默认路径
8、必备条件检查,解决未满足的条件
9、打开CxSAST.950.Release.Setup_9.5.0.100\third_party\.NET Core – Windows Server Hosting,运行dotnet-hosting-6.0.5-win,选择修复
10、解决Java运行环境,浏览选择java解压的路径即可(第5步java解压路径)
11、必备条件检查通过,进行下一步安装
12、测试SQL服务器连接(默认即可),也可以使用外部sql服务器
13、Message Broker配置(保持默认即可)
14、服务账号设置(这里安装就默认),推荐新建账号密码(记住)
15、Engine配置(这里默认),如果需要修改端口,这里修改
16、许可证配置(选择请求新许可证)
17、安装
18、安装成功
登录checkmarx
1、打开CheckmarxPortal图标,会进入Checkmarx系统,初次登录需要进行用户创建
2、修改软件为中文
- 可以在user Profile中设置软件为中文
3、安装完成
- 在设置中去查看引擎状态,只有引擎状态正常的情况下才能执行代码扫描
微信扫一扫打赏
支付宝扫一扫打赏
