《Checkmarx CxEnterprise 用户使用手册》由会员分享,可在线阅读,更多相关《Checkmarx CxEnterprise 用户使用手册(50页珍藏版)》请在金锄头文库上搜索。
1、Checkmarx CxSuiteUser Guide2015年1月CxSuite User Guide目录1CxSuite Web 界面31.1访问Web界面31.2了解Web 界面41.2.1菜单项目41.2.2管理表52创建和管理项目72.1创建和配置一个项目72.2高级操作112.2.1配置电子邮件操作122.2.2配置一个可执行操作122.3查看项目细节152.4管理查询162.4.1导入和导出查询162.4.2管理查询规则集172.5管理项目和运行扫描193队列203.1查看队列203.2Queue队列操作214扫描结果224.1查看扫描结果表格224.2扫描结果操作244.3理解
2、及定向扫描结果254.4扫描结果示例264.5生成扫描结果报告274.6比较扫描结果集295用户管理325.1角色与权限概述325.2创建与管理用户325.2.1在网络界面创建用户帐户335.2.2通过用户注册创建用户账户365.2.3管理现有用户385.3组织层次管理396管理与分析436.1系统指示板436.2数据分析437CxConsole: CxSuite CLI477.1概述477.2运行扫描命令47ConfidentialCheckMarx CxSuite User ManualPage481 CxSuite Web 界面CxSuite 为管理和分析代码扫描项目和CxSutie系统
3、提供直观的Web界面。本节内容: 访问Web界面 了解Web界面1.1 访问Web界面使用以下两种方法之一来访问CxSuite Web界面 如果要在本地(从服务器主机)访问CxSuite,只需使用Windows“开始”菜单Checkmarx文件夹中的链接。 如果要从任何其他计算机访问CxSuite,请确保组织中的路由选择和防火墙配置允许客户端计算机访问CxSuite服务器。将浏览器指向:http:/cxwebclient/login.aspx此处,为CxSuite服务器的IP地址或可解析主机名。一次全新的安装之后,会出现一个管理员账户:用户名:admincx密码:admin然后便可执行用户管理
4、:修改管理员密码并且添加用户。CxSuite Web 界面支持以下浏览器: Internet Explorer 7 及高于其的版本 Safari 5 Chrome Firefox 11.0您可以修改Web界面超时。1.2 了解Web 界面CxSuite的Web界面包括一个不断在扩大的导航菜单(在左侧)。所选择的导航项目确定页面的其它内容:本节内容: 菜单项目 管理表1.2.1 菜单项目CxSuite web 界面菜单项目包括: 在项目和扫描下:o 创建新项目:启动“新建项目”向导。o 队列:查看当前正在运行的扫描状态。o 项目:所有项目组成列表,已登录的用户即为可访问该列表的成员。 所有扫描:
5、现有项目扫描结果组成列表,已登录的用户即为可访问该列表的成员。 管理o 扫描设置: 查询浏览器:查看和管理系统中使用的规则集。 规则集管理器:根据客户需要创建和管理规则集。 扫描前/后处理措施:允许根据扫描前后运行的预装脚本来制定行动。 源代码控制用户:查看和修改访问源代码控制存储库的用户账户的详细信息o 服务器设置: 授权文件详细说明:已安装的license。 安装信息:服务器组件的位置。 常规设置:文件夹位置、SMTP等设置。 用户与团队:管理用户和用户层级o 组织:配置组织层级。o 确认用户:对自行注册的用户进行确认。 数据分析:查看和分析扫描相关数据 我的个人资料:更改登录用户的个人资
6、料(适用于所有类型的用户)和密码(仅适用于应用程序的本地用户,而非Windows域用户)。1.2.2 管理表Web界面中的不同表进行的是导航和分页控制:可以从表的标题栏对表进行下列操作: 删除选中项目: 导出表的内容为CSV文件: 针对每一个列标题显示一个过滤字段:输入过滤文本(不区分大小写)后,按回车键进行过滤。 组:点击后,将列标题拖到最上面一行,来根据该列的值对表中行进行分组: 例如,manager可以根据用户对项目进行分组。 刷新:刷新该表。 要根据列的值对行进行重新排序,不需要分组,只需要点击列标题即可(升序和降序之间切换)。2 创建和管理项目CxSuite项目对要进行扫描的源代码、
7、扫描时序安排和通知设置进行界定。通常情况下,一个CxSuite项目与一个软件开发项目,或其中的一部分相对应。无论何时运行扫描(手动或预订自动的),扫描结果都与CxSuite项目相关联。对于持续集成的开发方法来说,如果针对每一次迭代都创建一个新的分支,那么就应该更新现有项目内的代码位置(而不是创建一个新的项目),这样所有的结果就会都被存在同一个项目中。支持扫描包含多种代码语言的项目。如果要禁用此特性,请联系Checkmarx专业服务。本节内容: 创建和配置一个项目 高级操作 查看项目细节 管理查询 管理项目和运行扫描2.1 创建和配置一个项目要创建一个项目:1. 用以下两种方法之一启动新项目向导
8、o 从导航菜单,在Projects&Scans(项目和扫描)下,选择Create New Project (创建新项目):o In the Projects window, above the table, click Create New Project.o 在项目窗口中,如上表,单击Create New Project (创建新项目)2. 配置下面的常规项目属性:o 项目名称:应指出要进行扫描和跟踪的源代码。o 规则集:代码扫描上要运行的规则集。Default中包含的是Checkmarx对多数项目推荐的规则集。对所有的编码最佳实践都选择All。例如,对于一个Android项目,您必须选择A
9、ndroid. 执行查询的完整列表,请参见版本注释。o 配置:仅适用于高级用户,扫描双字节编码的源代码。o 组:确定谁可以查看您的项目和其扫描结果。可用选择取决于已登录用户的权限。如果选择CxServer,就只允许服务器管理员进行访问。如果您是单一用户,就请保留默认选项。3. 配置源代码位置:o 本地:单击Select来浏览包含代码的本地zip文件。未来对本项目进行的扫描也要通过本地上传(请参阅“管理项目和运行扫描”)。注释 由于CxSuite服务器不能自动访问本地资源,所以本地项目不会进行自动扫描。您需要定期手动上传一个新的zip文件。 Linux环境中生成的zip文件可能无法正常工作。 计
10、行数功能计算源代码中的行数。 如果zip文件大小超过200MB,您将无法上传。使用CxZip utility来创建一个具有指定扩展的较小zip文件。o 共享:在一个从CxSuite服务器能够访问到的网络服务器中维护项目代码。单击Select来配置细节:0. 提供Windows域用户名和密码,使用该用户名和密码,CxSuite服务器就可以访问网络:用户名格式应为:domain_nameuser name 1. 单击OK,并选择一个或多个包含有项目代码的网络文件夹:2. 单击OKo 源代码控制:项目代码被保存在TFS、SVN或GIT源代码控制系统。单击Select来配置源代码控制系统的链接。o 源
11、代码提取:激活一个可配置脚本,从源代码控制系统中提取代码,只有先前对CxSuite Windows客户端应用程序进行配置的情况下才可用。根据脚本配置,您将能够选择一个脚本和/或位置。4. 您可以视情况排除要扫描的文件夹和/或文件。您可以输入一个以逗号分隔的文件夹列表,包括通配符,此方法同样适用于文件。5. 根据您的需要,单击Count Lines来显示当前项目中的行数。以下步骤为可选步骤。您可以单击Finish跳过这些步骤。6. 单击Next并且配置时序安排(不适用于本地源代码位置)为了支持持续集成的开发方法,建议您对源代码文件设定定期扫描计划,这样可以对所做出的修改进行检查。可以通过Buil
12、d文件中的CLI来自动执行,但该方法不强制执行,因为CxSuite对源代码的扫描不要求事先对源代码进行架构建立或编译。7. 单击Next,并视情况配置高级操作。8. 完成该向导。扫描启动可能需要花一点时间。2.2 高级操作CxSuite在每次扫描中可以自动执行可配置操作。有两种类型的高级操作: 发送电子邮件 运行可执行文件本节内容: 配置电子邮件操作 配置可执行文件操作2.2.1 配置电子邮件操作您可以配置CxSuite在扫描前或扫描后自动发送电子邮件。通过以下步骤配置自动电子邮件:1. 在一个项目的高级操作选项中,在相关项目下输入想要的电子邮件文本:2. 单击并且添加收件人。使用分号(;)来
13、分隔电子邮箱地址。3. 单击Finish电子邮件操作需要进行SMTP设置。2.2.2 配置一个可执行操作按以下步骤配置CxSuite来在扫描前或扫描后运行一个可执行文件1. 上传一个可执行文件:为了确保系统的完整性并对访问进行限制,必须由获批准的人员手动上传可执行文件。CxSuite 用于可执行文件的位置被定义在Management Server Settings General Settings Executables Folder中2. 为可执行文件定义一个操作:访问ManagementScan Settings Pre&Post Scan Actions Create New Actio
14、n,并且配置以下内容:o 操作类型:预扫描操作或扫描后操作o 名称:当向具体项目分配操作行为时,这将出现在一个下拉列表中。o 命令:按可执行文件的要求使用语法,或从列表中进行选择。o 参数:输入运行该命令时所需要的参数。o 对于扫描后操作,您也可以选择XML或CSV格式的扫描结果。3. 向项目指定操作:在一个项目的高级操作选项中,从列表中选中一个操作:4. 单击Finish2.3 查看项目细节您可以从导航菜单访问Projects and Scans项下的 Projects窗口项目表列出了所有针对group配置的项目,在这些group中已登录用户即为其成员。您可以管理该表。对于一个非本地项目(或对于一个本地项目的增量扫描),总扫描只计算代码相对于先前扫描有所变化的扫描。对于每个项目,您可以查看其扫描或者执行其他操作。在表中选择一个项目,在窗口底部显示其详细信息: Monitoring选项卡代表了侧重于发现漏洞数目及整体风险的最后10次扫描的进度。o Vulne
