Checkmarx是以色列研发的一款代码审计工具，使用.NET开发，CheckMarx CsSAST仅仅支持windows安装，只有代码扫描引擎（code Engine）支持linux和windwos。

该工具可以扫描未经编译的代码，可以直接上传源码zip包，这样通过扫描原始源代码可以使代码在早期就能识别安全隐患，不考虑代码的编译构建，这就意味着我们可以随时扫描代码片段。这一点Fortify SCA就做的没有这么到位，希望Micro Focus负责人在下一个版本中改进哦。

服务器支持环境

注：CheckMarx 9.5版本是支持jdk17的。

CsSAST支持的环境：

中间件

浏览器

开发语言

本次安装VMware的服务器配置如下：

安装介质：cn_windows_server_2016_vl_x64_dvd_11636695.iso

操作系统：windows server 2016 64位

CPU：9核

内存：8G，根据个人需要可以设置16G

虚拟机配置

安装windows server 2016后首先关闭防火墙，否则不能ping、不能传输文件。但是windows server 2016需要不定时更新，可能需要重启服务器，这一点很恶心，重启过程可能耽误服务的运行而影响业务的进行。还是建议大家使用windows server 2012。

点击“CsSetup.exe”，执行安装程序，应用程序请去官网下载。

安装setup

首先安装.NET依赖环境，安装后需要重新服务器。Windows server 2012安装.NET 4.7.1时会有错误，请参考https://blog.csdn.net/weixin_43570089/article/details/103201544进行解决。Windows server 2016可以直接顺利安装。

NET安装

重启后，正式进入CheckMarx的安装界面

正式安装

选择高级安装，接受安装协议后进入下面这个页面：

安装选项

安装程序自动检查软件使用所依赖的环境：

安装条件检查

不过CheckMarx CxSAST在安装包中自带第三方环境的安装介质，

路径：\Checkmarx CxSAST v9.x\CxSAST Setup v9.x\CxSAST.x.Release.Setup_x\third_party

自带third_party

第三方环境

JDK解压后复制到C盘，直接设置环境变量即可，其他的根据需要也可以从其他地方下载安装。

一顿操作猛如虎终于符合CxSAST的安装条件

安装条件检查

下一步就开始链接MS SQL数据库，选择服务器。

如果数据库安装在本机，可以手写windows server的主机名，可以识别到。

如果是把SQL server安装到了其他服务器，需要指定IP地址和主机名称。

配置SQL Server连接方式

以上两种连接方式均可测试成功

数据库连接成功

配置消息代理端口，我们这个版本默认为49151端口，查了一下没有被占用。

配置消息端口

服务账户设置，按默认或者使用服务器的用户名/密码，测试成功（如果不进行验证则【下一步】按钮为灰色），然后下一步

服务器账户设置

配置CsSAST扫描引擎地址，注意端口是否被占用

扫描引擎配置

输入官方正版序列号文件（联系官网），如果没有证书，选择请求新许可证

请求新许可证

所有配置完成后，进入重要的一步

开始正式安装

有提示安装进度百分比，和安装的组件名称。

安装进度监控

安装进度监控

安装是个漫长的过程。

安装成功界面

安装完成后桌面会生成2个图标，一个是客户端，一个是页面端，不过在使用页面端时感觉有明显的卡顿，不知道应该怎么优化，相反客户端就扫描很快。两个共用一个 SQL server数据库，可以相互查看扫描结果。

checkmarx客户端和页面端

另外checkmarx CsSAST支持丰富的IDE，插件地址：https://checkmarx.com/plugins/，根据编译器需要自行下载。

工具使用

扫描报告