Checkmarx插件概述

Checkmarx CxSAST是一個強大的靜態(tài)源代碼分析（SAST）解決方案，旨在識別，跟蹤和修復(fù)技術(shù)和邏輯安全漏洞。CxSAST無縫集成到軟件開發(fā)生命周期（SDLC）中，能夠早期檢測和緩解關(guān)鍵的安全漏洞。

CxSAST SonarQube插件安裝在SonarQube環(huán)境中，支持以下功能

1. 執(zhí)行SonarQube時拉取自動掃描結(jié)果。CxSAST掃描由Checkmarx執(zhí)行，掃描結(jié)果在執(zhí)行時由CxSAST SonarQube插件自動拉取。CxSAST SonarQube插件不會啟動新的Checkmarx掃描。

2. 在SonarQube環(huán)境中提供查看掃描結(jié)果、摘要和趨勢的界面。

3. 提供從SonarQube儀表板到詳細CxSAST掃描結(jié)果和報告的直接鏈接。

插件地址

Checkmarx插件市場：https://checkmarx.com/plugins/

SonarQube插件下載地址：https://download.checkmarx.com/9.5.0/Plugins/SonarQube_2025.2.1.zip

Plugin for SonarQube (SonarQube 9.6 - 2025.5.0.107428)

Checkmarx Plugin Version: 2025.2.1

Checkmarx SAST Min Version: 9.5

插件安裝

將zip壓縮文件解壓縮到您選擇的文件夾中。它包含Sonar CxPlugin SDK文件，該文件當(dāng)前名為com.checkmarx.sonar.cxplugin-2021.2.1.jar。

將其jar包放置到以下SonarQube服務(wù)器目錄中：$SONARQUBE_HOME/extensions/plugins。

重新啟動SonarQube服務(wù)器，如果重啟失敗，需要重啟操作系統(tǒng)。

插件是否安裝

SonarQube-配置-應(yīng)用市場-已更新

安裝后，可以在SonarQube-質(zhì)量配置中查看Checkmarx開頭的配置項

為了根據(jù)掃描的語言顯示Checkmarx漏洞結(jié)果，必須安裝該特定語言的插件。C#，Java，PHP，Python，JavaScript都預(yù)裝在SonarQube中。Go、Groovy和Perl可以免費下載。必須購買對應(yīng)插件C\C++、Objective C PLSQL、Swift、VB.NET和VB\VB6。

如何使用

新建項目，比如一個C#代碼項目。

在Checkmarx CxSAST中要先掃描這個C#代碼漏洞，后面一旦SonarQube執(zhí)行完成，就可以在SonarQube中拉取Checkmarx掃描結(jié)果。

Checkmarx參數(shù)配置

在“項目配置”下，選擇“Checkmarx”。將顯示Checkmarx配置界面，列出的Checkmarx配置參數(shù)：

服務(wù)器URL：Checkmarx服務(wù)器URL或IP地址（帶或不帶端口），例如，http：//server-name，https：//ip：port。
用戶名：請輸入登錄用戶名。
密碼：輸入登錄密碼。
<測試連接>：單擊并等待，直到服務(wù)器URL和憑據(jù)通過驗證并顯示成功狀態(tài)。
Checkmarx項目：從可用項目下拉列表中選擇相關(guān)項目。所選項目必須是具有當(dāng)前掃描結(jié)果的活動CxSAST項目。通過輸入項目名稱或項目名稱的一部分來搜索Checkmarx配置頁。
每個Checkmarx漏洞的修復(fù)工作（分鐘）：定義修復(fù)漏洞所需的工作量（以分鐘為單位）（0 =不工作）。

在Checkmarx項目配置頁面上，對于尚未掃描的項目，由于SonarQube 9.6至10.1版本的內(nèi)部問題，將顯示無效日期而不是實際分析日期。