Hỏi đáp
Tư vấn trực tuyến
Hotline
0981 811 879
Email
info@wi-mesh.com.vn
Checkmarx IAST giám sát và phân tích liên tục hành vi thời gian chạy của ứng dụng, giúp phát hiện các lỗ hổng bảo mật ngay khi chúng xuất hiện và cung cấp phản hồi tức thì cho nhà phát triển.
Sử dụng các kỹ thuật công cụ thông minh để phân tích đầu vào, luồng dữ liệu và tương tác với hệ thống bên ngoài, Checkmarx IAST xác định các lỗ hổng như chèn mã, SQL injection, XSS. Bằng cách phân tích hành vi thực tế, giải pháp này giảm thiểu dương tính giả, cung cấp kết quả chính xác hơn.
Checkmarx IAST tích hợp mượt mà vào các môi trường phát triển, khung và ngôn ngữ lập trình khác nhau, hỗ trợ cả ứng dụng hiện đại và kế thừa. Nó cung cấp thông tin chi tiết ở cấp độ mã và đề xuất khắc phục, giúp nhà phát triển dễ dàng hiểu và giải quyết vấn đề.
Có thể tích hợp vào các đường ống CI/CD, cho phép thử nghiệm bảo mật trong suốt quá trình phát triển và thúc đẩy các thực hành DevSecOps.
Khám phá, sử dụng, phân loại API, ủy quyền và tài liệu cho mã tùy chỉnh, thư viện và framework, đảm bảo an toàn cho mọi giao tiếp API.
Trình bày luồng dịch vụ của các ứng dụng microservice trong thời gian chạy, bao gồm khả năng đi sâu và khám phá các lỗ hổng xuyên suốt các microservice.
IAST là giải pháp duy nhất trong ngành cung cấp khả năng tạo truy vấn tùy chỉnh và điều chỉnh để có kết quả tối ưu.
Tận dụng mọi thử nghiệm chức năng hiện có, loại bỏ nhu cầu quét bảo mật riêng biệt và tiết kiệm thời gian đáng kể.
Kiểm tra chuyên sâu mã tùy chỉnh, thư viện, khung, tệp cấu hình và luồng dữ liệu thời gian chạy để có cái nhìn toàn diện về bảo mật.
Có thể triển khai tại chỗ trong trung tâm dữ liệu riêng (trình cài đặt truyền thống hoặc dockerized) hoặc được lưu trữ trong một đối tượng thuê riêng trong AWS, mang lại sự linh hoạt tối đa.
Tích hợp liền mạch với Checkmarx SCA, tự động kích hoạt quét SCA và hiển thị các lỗ hổng bên thứ 3 khi chạy quét IAST, tăng cường hiệu quả bảo mật tổng thể.
| SAST | IAST | DAST | |
|---|---|---|---|
| Phương pháp kiểm tra | White Box Security Testing - Ứng dụng được kiểm tra từ bên trong - Phương pháp tiếp cận của nhà phát triển | Grey Box Security Testing - Ứng dụng được kiểm tra từ trong ra ngoài và ngoài vào trong - Phương pháp tiếp cận của QA | Black Box Security Testing - Ứng dụng được kiểm tra từ bên ngoài vào trong - Phương pháp tiếp cận của hacker |
| Thời điểm phát hiện | Sớm và nhanh chóng - Các lỗ hổng được tìm thấy sớm trong SDLC, giúp khắc phục nhanh hơn và dễ dàng hơn - Cung cấp hướng dẫn cấp mã về nơi sửa các lỗ hổng trong mã nguồn | Nhanh và tức thì - Nhanh chóng xác định phạm vi rộng hơn các lỗ hổng thời gian chạy, cung cấp thông tin chi tiết đến dòng mã cần sửa - Cung cấp kết quả thời gian thực, hỗ trợ quy trình DevSecOps và CI/CD | Chậm và muộn - Không thể đạt được thời gian phản hồi nhanh cần thiết cho việc tích hợp vào quy trình CI/CD - Không cung cấp hướng dẫn mã về nơi sửa lỗ hổng |
| Tích hợp | Sử dụng tăng dần trong giai đoạn phát triển - Chỉ chạy tăng dần trên mã mới hoặc mã đã sửa đổi - Tích hợp với IDE, máy chủ quản lý bản dựng, công cụ theo dõi lỗi và kho lưu trữ nguồn | Sử dụng liên tục trong giai đoạn thử nghiệm - Chạy liên tục song song với thử nghiệm chức năng - Tích hợp với mọi quy trình thử nghiệm chức năng hiện có, dù thủ công hay tự động | Sử dụng như một người gác cổng bảo mật - Yêu cầu thử nghiệm bảo mật và môi trường chuyên dụng - Phụ thuộc nhiều vào các chuyên gia để viết thử nghiệm, gây khó khăn cho việc mở rộng |
| Phương thức phân tích | Quét mã - Quét mã hoặc nhị phân mà không thực thi ứng dụng - Không yêu cầu ứng dụng được triển khai | Phân tích ứng dụng đang chạy - Tích hợp vào chu trình phát triển và thử nghiệm hiện có - Không yêu cầu mã hoặc nhị phân | Tấn công ứng dụng đang chạy - Chèn đầu vào vào các giao diện bên ngoài và quan sát đầu ra bên ngoài |
| Phạm vi bao phủ | Bao phủ tất cả mã tự viết - Không bao gồm các module của bên thứ 3 | Bao phủ tất cả thử nghiệm chức năng - Bao phủ các lỗ hổng thời gian chạy - Bao phủ các module của bên thứ 3 | Chỉ bao phủ các lỗ hổng phản chiếu - Bị bịt mắt về những gì đang xảy ra bên trong ứng dụng |
| Manufacturer/ Nhà sản xuất | Checkmarx |
|---|---|
| Header / Localization/ Khu vực kích hoạt | Toàn cầu |
| Category/ Danh mục sản phẩm | Phần mềm bảo mật |
| Part Number (P/N)/ Mã sản phẩm | - |
| Collections/ Dòng sản phẩm | - |
| Packaged Quantity/ Số lượng đóng gói | 1 cho đến nhiều, theo yêu cầu đặt hàng |
| Software / Version/ Phiên bản | Mới nhất |
| Language/ Ngôn ngữ | English/ đa ngôn ngữ |
| Distribution Media/ Đóng gói | - |
| Operating System/ Platform/ Nền tảng sử dụng | - |
| Product Type/ Loại sản phẩm | Subscription License |
| Software / License Type/ Loại giấy phép | New/ Renew/ Upgrade/ Extend/ Maintenance & Support |
| Length of term/ Thời hạn bản quyền | Thuê bao |
| License management/ Quản lý bản quyền | - |
| Customer secition/ Đối tượng khách hàng | Doanh nghiệp |
| Advanced version/ Phiên bản cao cấp hơn | - |
| Comparison/ So sánh sản phẩm | Xem mô tả so sánh hoặc tài liệu đính kèm |
| Service & Support Basic/ Dịch vụ và hỗ trợ cơ bản | - |
| Service & Support Advance/ Dịch vụ và hỗ trợ nâng cao | Tư vấn hệ thống/ Triển khai cài đặt/ Hỗ trợ 1 năm/ Đào tạo sử dụng |
| Tax & handling fee/ Thuế VAT & phí xử lý | Phần mềm & dịch vụ phần mềm được miễn thuế VAT. Thuế, phí khác có thể được áp dụng tại thời điểm mua hàng theo quy định của NN. |
| Server Host | RAM | Cores / CPU | Disk Space | Application Server | Operating System | Additional Software |
|---|---|---|---|---|---|---|
| IAST Management Server | 16 GB | 4-core, 2.8 GHz | 100 GB | Refer to Configuring the AUT Environment | Windows 10 (latest version), Windows Server 2012 or higher, Linux (any official Linux distribution) | Open JDK 1.8 64-bit or Oracle JDK 1.8 64-bit or Oracle JDK 11 64-bit, .NET Core 3.1 to 6.0, MS SQL 2012 or higher |
Giấy phép “Application Based” có nghĩa là Phần mềm được cấp phép có thể được sử dụng để quét một Ứng dụng duy nhất trong thời hạn của giấy phép, trong đó thuật ngữ “Application” được định nghĩa là một thành phần thực thi duy nhất của ứng dụng phần mềm. Những điều sau đây được coi là một Ứng dụng duy nhất cho các mục đích cấp phép: (a) nhiều bản sao giống hệt nhau của một tệp thực thi duy nhất trên các phiên bản khác nhau; và (b) nhiều phiên bản của cùng một Ứng dụng.
1. Thành phần máy chủ của Phần mềm IAST là Nút bị khóa. Khách hàng có thể chuyển giấy phép phần mềm Node Lock sang một máy khác với số lần hợp lý bằng cách: (a) gửi yêu cầu chuyển giấy phép bằng văn bản cho Bên cấp phép; (b) lấy khóa cấp phép mới từ Bên cấp phép, khóa này được yêu cầu để kích hoạt phần mềm trên máy mới; và (c) nhanh chóng xóa phần mềm đã cài đặt trước đó khi chuyển phần mềm sang máy mới.
2. Bên cấp phép bảo lưu quyền hạn chế chuyển nhượng giấy phép nếu hoạt động đó quá mức hoặc cấu thành sự lạm dụng, như được xác định bởi Bên cấp phép theo quyết định hợp lý của mình.
