IBM 网络安全AppScan_lifecycle_solution

对Web资产实施策略保护以实现业务目标IBMRationalAppScan生命周期解决方案:在软件和系统交付中确保Web应用程序安全性2在线攻击是否让您的业务暴露在风险中?如今，许多公司依赖基于Web的软件和系统运营其业务流程、与供应商进行交易、向客户提供更加成熟的服务。在一个治理结构良好的组织中，于在线部署的每个应用程序上构建安全性应该是软件和系统交付业务流程的一部分。不幸的是，为了保持竞争能力的领先地位，许多公司对此漠不关心，而只是不断地加快新产品的面市速度。结果，这些漏洞让黑客得以轻松访问或偷窃公司个人数据，可能导致整个公司漏洞让黑客得以轻松访问或偷窃公司个人数据，可能导致整个公司让黑客得以轻松访问或偷窃公司个人数据，可能导致整个公司处于风险之中。IBMRational®AppScan®是一套行业领先的Web应用程序安全解决方案，为组织提供了必要的可见性和控制能力以解决这一关键问题。该套件包括:•IBMRationalAppScanStandardEdition•IBMRationalAppScanExpressEdition•IBMRationalAppScanTesterEdition•IBMRationalAppScanDeveloperEdition•IBMRationalAppScanBuildEdition•IBMRationalAppScanEnterpriseEdition•IBMRationalAppScanSaaSsolutions•IBMRationalAppScanReportingConsole•IBMRationalWebBasedTrainingforAppScan这些全面的解决方案都能提供扫描、报告和修复建议，适合于各种用户各种类型的安全测试，包括应用程序开发人员、QA团队、入侵测试人员、安全审核人员和高级管理员。与IBMRationalSoftwareDeliveryPlatform的其他生命周期解决方案一样，RationalAppScan产品让用户在类似的技术环境中工作，并能与领先的QA工具和集成的开发环境(IDE)几乎无缝地集成。该应用程序允许您执行连续安全审核，帮助软件开发团队一步步在Web应用程序中构建安全性，甚至能在部署应用程序之前帮助转移业务风险。保护基于Web的关键业务资产RationalAppScanStandard、RationalAppScanTester和RationalAppScanEnterprise解决方案提供了全面的安全性，能覆盖复杂的Web站点，解决方案扫描并测试常见的Web应用程序漏洞，包括WebApplicationSecurity漏洞，包括WebApplicationSecurity，包括WebApplicationSecurityConsortium(WASC)威胁分类标识的那些漏洞。Rational漏洞。Rational。RationalAppScan解决方案使用功能更加强大、更加灵活的核心功能，以提供健壮的应用程序扫描，覆盖了最新的Web2.0技术，包括增强了对Flash和JavaTMScript语言的支持，以及对Ajax编程语言(包括专门针对JavaScriptObjectNotation[JSON]和Web服务参数的测试)的全面支持。23RationalAppScan针对扫描有效性和易用性的核心功能包括:●用户界面带有应用程序树视图选择器、分层安全结果列表，开发人员修改视图和细节面板。●灵活的测试过程，允许分析应用程序参数，允许仅选择相关的测试，而不影响开发过程。●复杂的验证支持，允许对Web应用程序执行多步骤验证流程，包括全自动区分计算机和人类的图灵测试(CompletelyAutomatedPublicTuringTesttoTellComputersandHumansApart，CAPTCHA)分布验证、多因素验证(multifactorauthentication)、一次性密码、通用串行总线(USB)秘钥、智能卡和相互验证。●先进的会话管理，必要时可执行自动重登录。●实时结果视图，允许用户在扫描完成前对问题执行操作。●模式搜索法则，方便围绕信用卡、社会保障或其他数列的安全测试。RationalAppScan自定义和控件的核心功能包括:●RationalAppScanextensionsFramework技术，使用户能够创建、分享、加载强大的插件扩展测试功能。●Pyscan和RationalAppScan的组合，具有Python脚本功能，允许用户不受用户界面的限制利用扫描能力。能够实现安全专家和入侵测试人员从未能实现的自定义。●RationalAppScan软件开发套件(SDK)，提供调用动作的能力，从执行长时间扫描到提交定制测试。SDK界面的设计易于集成，支持自定义扫描引擎支持，还支持RationalAppScanextensionsFramework和Pyscan选项。RationalAppScan漏洞检测的核心功能包括:漏洞检测的核心功能包括:检测的核心功能包括:●全面的有效性测试，分析非故意触发问题、SecureSocketsLayer(SSL)测试(测试SSL证书有效性)、跨站点伪造请求测试(cross-siterequestforgery，CSRF)的相应。●黑客模拟覆盖了OpenWebApplicationSecurityProje-ct(OWASP)的前10项和SystemAdministration,Networking,andSecurityInstitute(SANS)的前20项漏洞。漏洞。。●最新的威胁信息，启动RationalAppScan产品时自动更新。●捆绑的可用性套件，帮助入侵测试人员和安全咨询人员开发、测试和调试Web应用程序。IBMRationalAppScan安全顾问视图34RationalAppScan报告和补救的核心功能包括:●与40多个全球法规遵从性和标准有关的测试，包括:NationalInstituteofStandardsandTechnologySpecialPublication(NISTSP)800-53和OWASP的前10项(2007年更新)。RationalAppScanVersion7.7还包括FamilyEducationRights和PrivacyAct(FERPA)、FreedomofInformationandProtectionofPrivacyAct(FIPPA)和PaymentApplicationBestPractices(PABP)。●针对HTML代码的有效性高亮显示，包括漏洞和对问题的漏洞和对问题的和对问题的解释。其他功能还可以显示修改后的HTML代码。●补救报告包括HypertextPreprocessor(PHP)修复建议和开发人员人物列表。这些报告还允许查看与应用程序有关的问题以及体系结构问题，并能删除变量并标记为notvulnerable以供将来查看。●详细的可疑内容报告可以列出HTML注释中的敏感数据以及与可疑内容有关的HTTP活动。●测试描述包括数据库常见漏洞和漏洞(CVE)的ID。漏洞和漏洞(CVE)的ID。和漏洞(CVE)的ID。●还能够将RationalAppScan内置浏览器的屏幕截图合并到报表中，能够提取、压缩、加密特定的电子邮件测试的非私有信息。RationalAppScan软件还允许您向IBMRationalAppScan安全研究团队报告错误事件，这将有助于提高产品的准确性。IBMRationalAppScan问题视图IBMRationalAppScan补救视图45使用RationalAppScanStandardEdition软件进行产品安全审核和产品监控安全审核人员和入侵测试人员的自动Web应用程序测试需要高级智能扫描技术。RationalAppScanStandardEdition包括:专门为支持中高级用户设计的特殊功能。这些功能包括:●扫描专家基于最佳实践提供扫描创建和设置指南，包括使用其他工具。用户可以授权预扫描，以熟悉目标应用程序并得到成功扫描所需的建议。●状态诱导器扫描和测试复杂的业务流程，比如多步骤在线购物和跟踪，并在整个过程中维护参数值和cookies。●预定义的扫描模版允许用户快速选择和启动配置选项。●快速扫描配置向导引导用户进行重要设置、通过代理/平台验证和内部会话检测信息的各种条件步骤。●新的请求/响应选项卡提供语法高亮显示、请求/响应、收起/展开、即时搜索和其他右键单击选项。●基于Microsoft®Word模版的报告，用于设计遵守公司标准的定制格式。模版具有一个内容表格，扫描启动和结束时间以及各种图片。●内嵌的基于Web的培训(WBT)模块，帮助解释问题并演示开发、结果验证等，以帮助促进对漏洞的理解和交流。漏洞的理解和交流。的理解和交流。通过RationalAppScanExpressEdition软件获得健壮的Web应用安全特性对于拥有较小或有限的应用开发团队的组织，也需要将安全测试作为开发生命周期的一部分考虑。而这些组织往往不得不为降低成本而牺牲功能。RationalAppScanExpressEdition以更具吸引力的价格交付了IBMRationalAppScanStandardEdition中完善的安全测试，从而满足中型组织的需求。专为简化部署而设计的RationalAppScanExpressEdition显著降低了与手动漏洞测试相关的成本，允许您的团队关注组织内与IT和安全有关的其他需求。使用RationalAppScanTesterEdition软件将安全测试作为质量管理的一部分RationalAppScanTesterEdition提供各种功能，帮助QA团队在现有的安全管理过程中集成安全测试，从而减轻了安全专家的负担。由于它集成了现有的测试系统，所以QA专家可以使用RationalAppScan功能测试脚本、在熟悉的测试环境中执行安全检查、促进安全测试的采用以及功能和性能测试。通过RationalAppScanDeveloperEdition软件将安全测试无缝地嵌入您的开发环境要在面临应用安全漏洞时占尽先机，最有效的方法就是编写安全的代码。挑战在于，大多数开发人员并非安全专家，编写高度安全的代码并非总是他们的优先考虑事项。因而，将开发纳入应用安全流程的最佳方法就是为其提供可在开发环境中使用的工具，以开发人员能理解的方式生产安全结果。RationalAppScanDeveloperEdition设计用于使开发人员能够在其开发环境内进行Web应用安全测试，从而使得开发团队能够应对代码可能造成的大量安全问题、简化开发生命周期工作流，并帮助减少发布周期终期可能出现的成本高昂的安全测试瓶颈问题。RationalAppScanDeveloperEdition运用多种分析技术，以准确查明Web应用中的安全问题，包括静态代码分析、动态分析、运行时分析和IBM正在申请专利的线性分析。56通过RationalAppScanBuildEdition软件自动化安全测试RationalAppScanBuildEdition支持在软件的构建阶段自动进行安全测试。通过集成多种构建管理系统(如IBMRationalBuildForge®软件)，使安全测试的范围延伸至调度执行的构建过程中。它还能通过IBMRationalClearQuest®等缺陷管理工具、RationalAppScanEnterpriseEdition、RationalAppScanReportingConsole等工具无缝集成。RationalAppScanBuildEdition包含的分析技术和引擎与RationalAppScanDeveloperEdition相同，提供了高度的准确性和代码覆盖率，帮助您识别哪些代码已经过测试。使用RationalAppScanEnterpriseEdition软件在整个企业扩展应用程序安全测