该银行已经通过黑盒、灰盒及人工渗透测试来发现应用软件的安全⻛险，需要引入 白盒工具在软件生命周期的早期就发现安全问题，降低修复成本。Checkmarx不需 要编译即可进行扫描，更早发现安全问题，并且可以发现黑盒、灰盒相对难以检测 的移动端应用程序。并且Checkmarx提供丰富的插件和API支持，可以完美嵌入现 有的DevOps环境。安全部⻔通过设置构建质量⻔，项目的扫描结果未通过安全阈 值不允许部署，实现了DevSecOps闭环管理。通过代理商提供的服务，利用自定义 规则逐渐消除误报、漏报问题，最终达到整个流程完全自动化。

在接触Checkmarx之前，某互联网企业的安全事业部⻔在代码审计方面主要面临的 问题在于，市面上的白盒工具普遍误报率较高，往往需要付出大量额外的人力资源 对工具扫描出的安全问题进行二次审计;而研发团队因业务需要，对各类常⻅框架 均做了一定程度的修改，这无疑给扫描结果误报、漏报的情况雪上加霜。 Checkmarx所提供的强大的自定义规则的能力，有效缓解了这一系列问题。该企业 通过Checkmarx CxAudit工具，使用Checkmarx CxQL API，针对业内常用的语 言、框架做了一系列扫描规则的优化，显著降低了误报率和漏报率，节约了审计成 本的投入。经过一段时间的积累，项目的安全交付效率得到了极大的提升。