拥有全国大规模的省级电网,江苏在国内率先开展对电力工控安全技术的研究,为电网的稳定运行提供了有力保障。与此同时,对与电力相关的各类应用系统、业务系统的安全保障也是整个安全防护体系的重要组成部分,特别是对系统源代码进行安全检测,以期在代码层级充分发现安全缺陷来提高江苏电力相关系统的安全质量,已成为信息安全保障的关键环节。
在选择Checkmarx CxSAST白盒代码安全检测产品之前,江苏电力信息技术已采用另一品牌的检测工具开展代码安全检测,但随着编写的代码体量越来越大、曝出的安全漏洞持续增多,该检测工具对个别重大安全漏洞的检测出现了“盲点”。通过测用Checkmarx CxSAST,信息安全团队测出了更多的代码安全缺陷,且对Checkmarx CxSAST的特色优势和应用体验给予了良好评价。,信息安全团队决定在保有现有检测工具的同时,采用Checkmarx CxSAST作为白盒代码检测的强力补充,以更好的保障软件系统安全,加速软件的安全交付。
江苏电力青睐Checkmarx CxSAST的原因不仅在其强大的代码检测科技,还包括其如下特性:
-
涵盖常用的编码语言:Checkmarx CxSAST目前支持20种编码和脚本语言及其流行的框架。
-
扫描未经编译的源代码:Checkmarx CxSAST扫描的是未经编译的源代码,从源头查找漏洞。能够查找隐藏在注释中的密码等。
-
增量扫描功能:仅扫描最近增加和修改的源文件,使用Checkmarx CxSAST增量扫描功能,避免代码重复扫描,大大提高扫描效率,节省扫描时间。
-
修复建议:源文件中的安全漏洞可能会很多,对每个漏洞都修复成本会很高,效率较低。平台会对有关联的漏洞进行深入分析,将处在相互关联的多个漏洞以图表形式展示,提供修复点,大大提高漏洞修复效率。
-
通过自定义规则较少漏报和误报:静态代码分析的漏报误报情况是不可避免的。Checkmarx提供灵活的规则自定义(CxAudit),这意味着可以通过轻松定制扫描规则,实现高度准确扫描。您可修改规则集以适应您的私有源代码,减少误报。扩展扫描规则集以达到您的兼容性需求和代码实践。Checkmarx的所有扫描规则都是公开的,查看没中结果的扫描规则,可理解每种扫描结果的产生的根源。
-
可集成第三方系统:Checkmarx CxSAST可无缝集成到主流IDE,构建管理系统,漏洞追踪系统和版本控制系统等在软件开发生命周期中使用到的第三方系统。
-
易用可扩展:Checkmarx CxSAST采用B/S架构,软件安装方便。扫描过程是在服务器上进行的。若程序员在开发过程中使用IDE插件进行项目代码扫描,扫描是在服务器上进行的,不会对程序开发造成影响。
为了帮助江苏电力信息安全团队尽快熟悉应用Checkmarx CxSAST,切实发挥其安全检测效益,并擎科技作为Checkmarx国内优质合作伙伴,派出了具有丰富开发经验和安全检测经验的专家团队(曾赴以色列Checkmarx总部接受技术培训)赴场提供咨询服务,专业的技术服务能力获得了客户的高度认可。