‌CheckMarx

很多团队遇到的现象是扫描一跑就把节点CPU打满，内存一路涨，队列越堆越多，最后要么扫描超时，要么节点被挤到不可用。处理这类问题不要只盯着加硬件，更关键是把并发、扫描范围、扫描类型三件事先压住，再用平台自带的引擎限制与分支规则把资源曲线拉平。

内网环境连不上Checkmarx服务器，现场最常见的不是软件本身故障，而是访问入口写错、代理走向不对、证书与协议不匹配三类问题叠在一起。处理时别先反复重装插件或换账号，先把网络链路跑通，再把代理参数落到你实际使用的客户端组件上，最后用一次可复现的验证动作把配置固定住。

很多团队看Checkmarx报告时，最容易只盯当前漏洞总数，结果一到管理层复盘或项目周会，就讲不清风险到底是在下降，还是只是扫描口径变了。Checkmarx官方其实已经把趋势分析拆成了几层：一层是Analytics里的趋势图和KPI，用来看当前时间段与上一时间段的变化；一层是Project或Application视图里的Total Results Overview与Resolved Results Overview，用来看项目级和应用级的结果走势；再往下才是按严重级别、状态、年龄和语言维度做细分。因此，报告解读不能只看一张结果表，而要把时间范围、统计对象和结果口径先对齐。

Checkmarx SAST扫描慢，很多时候不是单纯“机器不够”，而是把三类问题混在了一起。一类是扫描范围本来就偏大，一类是项目没有用好增量扫描这条提速路径，另一类是队列和并发上限没有按CxManager与CxEngine的边界去配。Checkmarx官方文档写得很清楚，队列里会区分Pending和Queued，其中Pending还在做上传、解压等准备动作，Queued才是已经准备好但在等系统资源；同时，CxManager的并发上限和CxEngine的并发上限也不是同一个配置项。

Checkmarx的门禁做得好，能把高风险问题卡在合并前，避免带病代码进入主干与发布分支。门禁做得不好，要么误报太多把研发卡死，要么阈值太松形同虚设。下面按可执行步骤，把门禁入口怎么设、阻断阈值怎么定、上线后怎么校验回滚写清楚，方便你直接套到日常流水线里。

Checkmarx把结果标成误报后又出现，最常见的不是你没点对按钮，而是复扫时这条结果在系统里被识别成了另一条实例，或者抑制只对当前项目生效，你却换了分支、换了项目、换了扫描配置。要把问题一次性压住，你需要先确认抑制到底有没有保存成功，再把复扫复现条件统一，最后再决定要不要把抑制范围从项目扩展到应用层。

做Checkmarx结果导出时，失败最常见的原因不是扫描没跑出来，而是导出走了不适配的通道。很多团队一边在Web里点报表，一边又想拿到SARIF，结果发现Web报表只给PDF、JSON、CSV，SARIF反而要走CLI或CI产物。把你当前用的是Checkmarx One Web报表、还是CLI结果导出先分清，再按对应路径排查和下载，效率会高很多。

写Checkmarx结果报告时，最容易失真的地方，不是漏洞名字写错，而是复现描述、证据截图和调用链说明各写各的，最后读报告的人只能看到一个结论，却看不清它是怎么被发现、影响落在哪里、修复点又该放在哪。Checkmarx官方文档把这条线拆得很清楚，SAST Results Viewer本身就把结果分成Vulnerabilities Table和Code Viewer两大部分，结果详情里还能继续展开Source、Destination、状态、优先级、Best Fix Location和评论记录，所以一份能落地的报告，本来就应当顺着这些官方结果要素来写，而不是只抄一个漏洞标题。

做Checkmarx扫描时，很多人会把“扫描失败”“语言没识别出来”“依赖缺失”当成同一种问题处理，结果前面反复重跑，后面还是找不到真正卡点。更稳的判断方式，是先把问题拆成三层来看：第一层是SAST本身有没有按预期识别代码语言和扫描范围，第二层是扫描到底跑到哪一步失败，第三层才是依赖缺失是不是来自SCA Resolver、包管理器或构建环境。Checkmarx官方文档对这几层是分开描述的，所以排查时也不该混在一起。

Checkmarx SCA接入能不能跑得准，关键不在你把扫描按钮点对了，而在依赖解析输入是否完整、流水线环境是否具备包管理器与仓库访问条件。建议按先选接入方式、再跑通最小流水线、最后做依赖树验收的顺序推进，这样一旦缺依赖或结果异常也更容易定位。

很多团队在Checkmarx里加了自定义规则后，扫描结果却毫无变化，或者CI里一会儿能命中一会儿不命中；另一类常见现象是升级或打了内容包后，预置规则集变了，项目突然出现查询为空、规则列表空白、命中数量异常波动。要把问题一次定位清楚，建议把排查顺序固定成两条线：先确认自定义规则到底有没有被“加载并启用”，再确认扫描时有没有“按正确的规则包与预置集执行”。

同样是提一个PR，有的仓库能自动出扫描结果和评论，有的却一点动静都没有，常见原因不是规则写错，而是触发链路断在了更前面，例如Webhook没创建成功、Scan Trigger没开、Protected Branches没把目标分支纳入，或你用的是CI触发但流水线事件根本没命中。Checkmarx One这类代码仓库集成通常依赖仓库事件与Webhook来触发扫描，触发条件本质上由Scan Trigger与Protected Branches共同决定。

在Checkmarx里改规则后看不到效果，很多时候并不是规则源码本身没保存，而是规则虽然改了，却没有真正进入这次扫描的生效链路。按Checkmarx官方公开文档来看，这条链路至少有三层：先在Query Editor里改查询，再把查询放进Preset，最后让项目扫描时真正使用这个Preset。再往后，如果你跑的是增量扫描，或者项目在“无代码变化”场景下直接复用了上次结果，表面上也会很像“规则改完没生效”。所以这类问题更稳的排查方式，不是只盯着查询源码，而是把规则、Preset、项目绑定和扫描方式连起来看。

做Checkmarx选型时，最容易乱的不是安装命令，而是一开始就把本地部署、云端平台和混合接入混成了一件事。按Checkmarx官方文档的口径，本地部署这条线主要还是围绕Checkmarx SAST 9.x展开，支持集中式、分布式和高可用架构；云端这条线则更多对应Checkmarx One，平台能力通过Web、CLI、CI插件和API直接使用。也就是说，先分清你要的是自建扫描服务，还是直接使用云平台，后面的部署路线才不会选偏。

Checkmarx增量扫描不生效，表面看是扫描没变快，实质多半是基线分支没对齐、前置全量扫描缺失、或分支增量开关没有打开，导致系统只能按全量逻辑运行。把扫描类型、基线分支、分支增量开关三件事核对清楚，再去看引擎侧报错与增量缓存文件，通常能把问题定位到一个具体配置点或一次缺失的基线扫描。

Checkmarx新项目导入后不识别代码，最常见不是代码真的没进来，而是扫描口径把文件排除了，或者语言模式只扫了某一种主语言，导致你看到的结果像是没有代码。处理这类问题要先确认两件事，第一是文件是否被排除规则与推荐排除挡住，第二是语言识别是否按多语言方式运行，再把过滤规则收敛到你真正要扫的目录与扩展名。

Checkmarx登录后反复跳转，多数发生在已完成身份认证但会话没能落地这一段，浏览器不停在Checkmarx登录页与企业身份提供方页面之间来回。排查时先确认你接入的是哪一种单点登录方式，再把回跳地址、会话Cookie、反向代理与IdP配置逐项对齐，问题通常能在一到两轮验证里定位清楚。

很多团队在接入Checkmarx之后，最先遇到的不是扫描不会跑，而是结果出来以后口径不统一。安全团队盯着严重度，研发团队盯着排期，项目经理又只关心这批问题要不要马上修。时间一长，同样是一个High，有的项目当天提单，有的项目却放到下个版本，最后不是工具有问题，而是规则没有说清。要把这件事理顺，关键是先把Checkmarx的分级逻辑拆开，再把内部优先级定成统一标准。

很多人第一次接触Checkmarx，会先把它理解成一款代码扫描工具，但按Checkmarx目前的官方定位来看，它已经不只是单一SAST产品，而是一个覆盖多类应用安全能力的平台。官方首页和产品页把Checkmarx One定义为应用安全平台，整合了SAST、SCA、Secrets、IaC、ASPM与AI Assist，用来统一处理开发阶段到治理阶段的安全问题。

Checkmarx的增量扫描本质是SAST在已有全量基线之上，只聚焦上次全量扫描以来的改动代码，并把与改动相关的邻近代码一并纳入分析，以便更快出结果。要让它稳定生效，你需要先跑通一次全量扫描，再把增量开关与范围过滤配置到项目规则、流水线或CLI里，最后用扫描类型与历史记录验证本次到底跑的是增量还是全量。