Checkmarx插件概述
Checkmarx CxSAST是一个强大的静态源代码分析(SAST)解决方案,旨在识别,跟踪和修复技术和逻辑安全漏洞。CxSAST无缝集成到软件开发生命周期(SDLC)中,能够早期检测和缓解关键的安全漏洞。
CxSAST SonarQube插件安装在SonarQube环境中,支持以下功能
1. 执行SonarQube时拉取自动扫描结果。CxSAST扫描由Checkmarx执行,扫描结果在执行时由CxSAST SonarQube插件自动拉取。CxSAST SonarQube插件不会启动新的Checkmarx扫描。
2. 在SonarQube环境中提供查看扫描结果、摘要和趋势的界面。
3. 提供从SonarQube仪表板到详细CxSAST扫描结果和报告的直接链接。
插件地址
Checkmarx插件市场:https://checkmarx.com/plugins/
SonarQube插件下载地址:https://download.checkmarx.com/9.5.0/Plugins/SonarQube_2025.2.1.zip
Plugin for SonarQube (SonarQube 9.6 - 2025.5.0.107428)
Checkmarx Plugin Version: 2025.2.1
Checkmarx SAST Min Version: 9.5
插件安装
将zip压缩文件解压缩到您选择的文件夹中。它包含Sonar CxPlugin SDK文件,该文件当前名为com.checkmarx.sonar.cxplugin-2021.2.1.jar。
将其jar包放置到以下SonarQube服务器目录中:$SONARQUBE_HOME/extensions/plugins。
重新启动SonarQube服务器,如果重启失败,需要重启操作系统。
插件是否安装
SonarQube-配置-应用市场-已更新
安装后,可以在SonarQube-质量配置中查看Checkmarx开头的配置项
为了根据扫描的语言显示Checkmarx漏洞结果,必须安装该特定语言的插件。C#,Java,PHP,Python,JavaScript都预装在SonarQube中。Go、Groovy和Perl可以免费下载。必须购买对应插件C\C++、Objective C PLSQL、Swift、VB.NET和VB\VB6。
如何使用
新建项目,比如一个C#代码项目。
在Checkmarx CxSAST中要先扫描这个C#代码漏洞,后面一旦SonarQube执行完成,就可以在SonarQube中拉取Checkmarx扫描结果。
Checkmarx参数配置
在“项目配置”下,选择“Checkmarx”。将显示Checkmarx配置界面,列出的Checkmarx配置参数:
服务器URL:Checkmarx服务器URL或IP地址(带或不带端口),例如,http://server-name,https://ip:port。 用户名:请输入登录用户名。 密码:输入登录密码。 <测试连接>:单击并等待,直到服务器URL和凭据通过验证并显示成功状态。 Checkmarx项目:从可用项目下拉列表中选择相关项目。所选项目必须是具有当前扫描结果的活动CxSAST项目。通过输入项目名称或项目名称的一部分来搜索Checkmarx配置页。 每个Checkmarx漏洞的修复工作(分钟):定义修复漏洞所需的工作量(以分钟为单位)(0 =不工作)。
在Checkmarx项目配置页面上,对于尚未扫描的项目,由于SonarQube 9.6至10.1版本的内部问题,将显示无效日期而不是实际分析日期。