Checkmarx插件概述

Checkmarx CxSAST是一個強大的靜態源代碼分析（SAST）解決方案，旨在識別，跟蹤和修復技術和邏輯安全漏洞。CxSAST無縫集成到軟件開發生命周期（SDLC）中，能夠早期檢測和緩解關鍵的安全漏洞。

CxSAST SonarQube插件安裝在SonarQube環境中，支持以下功能

1. 執行SonarQube時拉取自動掃描結果。CxSAST掃描由Checkmarx執行，掃描結果在執行時由CxSAST SonarQube插件自動拉取。CxSAST SonarQube插件不會啟動新的Checkmarx掃描。

2. 在SonarQube環境中提供查看掃描結果、摘要和趨勢的界面。

3. 提供從SonarQube儀表板到詳細CxSAST掃描結果和報告的直接鏈接。

插件地址

Checkmarx插件市場：https://checkmarx.com/plugins/

SonarQube插件下載地址：https://download.checkmarx.com/9.5.0/Plugins/SonarQube_2025.2.1.zip

Plugin for SonarQube (SonarQube 9.6 - 2025.5.0.107428)

Checkmarx Plugin Version: 2025.2.1

Checkmarx SAST Min Version: 9.5

插件安裝

將zip壓縮文件解壓縮到您選擇的文件夾中。它包含Sonar CxPlugin SDK文件，該文件當前名為com.checkmarx.sonar.cxplugin-2021.2.1.jar。

將其jar包放置到以下SonarQube服務器目錄中：$SONARQUBE_HOME/extensions/plugins。

重新啟動SonarQube服務器，如果重啟失敗，需要重啟操作系統。

插件是否安裝

SonarQube-配置-應用市場-已更新

安裝后，可以在SonarQube-質量配置中查看Checkmarx開頭的配置項

為了根據掃描的語言顯示Checkmarx漏洞結果，必須安裝該特定語言的插件。C#，Java，PHP，Python，JavaScript都預裝在SonarQube中。Go、Groovy和Perl可以免費下載。必須購買對應插件C\C++、Objective C PLSQL、Swift、VB.NET和VB\VB6。

如何使用

新建項目，比如一個C#代碼項目。

在Checkmarx CxSAST中要先掃描這個C#代碼漏洞，后面一旦SonarQube執行完成，就可以在SonarQube中拉取Checkmarx掃描結果。

Checkmarx參數配置

在“項目配置”下，選擇“Checkmarx”。將顯示Checkmarx配置界面，列出的Checkmarx配置參數：

服務器URL：Checkmarx服務器URL或IP地址（帶或不帶端口），例如，http：//server-name，https：//ip：port。
用戶名：請輸入登錄用戶名。
密碼：輸入登錄密碼。
<測試連接>：單擊并等待，直到服務器URL和憑據通過驗證并顯示成功狀態。
Checkmarx項目：從可用項目下拉列表中選擇相關項目。所選項目必須是具有當前掃描結果的活動CxSAST項目。通過輸入項目名稱或項目名稱的一部分來搜索Checkmarx配置頁。
每個Checkmarx漏洞的修復工作（分鐘）：定義修復漏洞所需的工作量（以分鐘為單位）（0 =不工作）。

在Checkmarx項目配置頁面上，對于尚未掃描的項目，由于SonarQube 9.6至10.1版本的內部問題，將顯示無效日期而不是實際分析日期。