IBM 安全 AppScan 源扫描程序

IBM 安全 AppScan 源分析源代码， 以识别安全漏洞， 同时将应用程序安全测试与软件开发过程集成在一起。

IBM 安全 AppScan 源将静态应用程序安全测试集成到软件开发过程中， 同时帮助安全和开发团队加强应用程序安全性、保护机mi数据并提高法规遵从性。

识别源代码中的漏洞， 查看数据和调用流， 并确定每个应用程序的威胁暴露。

通过在构建过程中将静态分析与自动扫描无缝集成， 将应用程序安全性构建到开发中。

创建、分发和执行一致的策略， 并通过集中的策略和评估数据库增强企业范围的度量和报告能力。

在开发团队的开发人员 IDE 中查明漏洞并为快速修复提供精que、详细的补救建议。

将安全测试与应用程序开发工具和 IBM Rational 协作生命周期管理解决方案集成在一起。

通过提供灵活的会审和补救， 使这些团队之间的信息流自动化， 从而促进安全与开发之间的协作。

版本8.6 为 Android 应用程序提供静态应用程序安全测试

跨多种语言 (包括系统 z COBOL 和 SAP ABAP)， 容纳范围最da、最复杂的应用程序的广泛组合。

功能:

与生成自动化集成的静态应用程序安全测试 (白盒)， 用于在每个生成中自动扫描源代码， 包括针对 Android 应用程序的静态应用程序安全测试

IDE 集成， 使开发人员能够扫描他们自己的代码， 或使用补救指南访问其他扫描的结果， 从而帮助消除安全漏洞

与 IBM 安全 AppScan 企业集成， 将静态分析添加到解决方案中， 通过驱动治理和协作将应用程序安全测试集成到应用程序生命周期中

可扩展的 Web 应用程序框架支持， 可提供无与伦比的灵活性以支持行业标准和自定义应用程序框架。

字符串分析 (IBM 研究创新)， 用于自动识别验证例程，appscan功能介绍， 从而简化了开发人员的用户体验。

共享信息的中央存储库， 如全局安全规则和筛选器

漏洞矩阵立即优先确定确认的关键漏洞， 没有误报。

自动化的项目导入工具， 简化了安装和配置

可自定义的报表生成器， 以帮助演示符合行业法规和最jia做法， 包括 OWASP 前10和 PCI

从 IDE 和生成自动化进行代码质量测试， 以确定代码级别的质量缺陷， 以及跟踪代码质量和安全性的关键性能指标

IBM 安全 AppScan

标准

使用功能提供快速结果

为便于使用而设计

不是每个人都是安全专家。IBM 安全 AppScan

标准软件集成了许多易用性的功能来帮助

使 web 漏洞扫描更容易为那些没有:

扫描配置向导引导每个用户设置

初始扫描， 提示提供基本信息， 如

启动 URL 或 IP 地址， 查询哪种类型的扫描

配置文件应使用， 并征求任何所需的登录

信息.

扫描专家功能执行设置检查并使

任何最后的修改， 如打开 Javascript 或

Adobe Flash 解析和执行， 支持环境

使用客户端逻辑。

扫描配置完成后， IBM 安全 AppScan

标准探索应用程序，appscan， 提取信息

网页、HTML 表单、参数、cookie 等。

此信息稍后用于生成数以千计的测试用例。

IBM 安全 AppScan 标准软件然后开始测试

阶段并返回漏洞结果和补救建议。

结果提供了有用的提示和截图

清楚地说明每个问题。

要提高组织的安全知识，

IBM 提供了基于 web 的培训模块， 涵盖了各种

安全主题。

按优先级优化补救措施

结果和修正建议

web 漏洞扫描最关键的方面之一是

对问题的快速补救。IBM 安全 AppScan

标准软件提供了一个完全优先级的漏洞列表

在每次扫描时发现， 这使得高优先级问题

被固定的第yi帮助组织关注什么

最重要的是从安全角度。每个漏洞

结果包括对漏洞工作方式的完整描述

和潜在的原因。在部署玻璃盒扫描时

(运行时分析) 代理在扫描过程中， 软件报告

应用程序代码中的实际位置， 其中的漏洞

发生了， 如 Java 类的名称和易受攻击的

行号。基于网络的综合培训提供短期

直接从用户界面培训模块。的补救

视图， 然后解释修补所需的步骤。

问题， 包括安全和不安全代码的示例。自

分配和管理补救， 结果可以集成到

缺陷跟踪系统， 如 IBM Rational? ClearQuest?

软件和惠普质量中心。

应用程序的定义和分类

所有安全团队都有自己的规则和要求， AppScan 企业9.0 提供了基于这些属性定义属性和规则的灵活性， 以便对应用程序进行分类、筛选和排序。除了提供安全小组为管理个别应用程序的安全威胁所需的所有信息外， 此功能还支持前面讨论的灵活、基于风险的管理过程。

系统管理员可以定义和编辑应用程序配置文件模板， 它由可自定义的应用程序特性组成， 这些属性可以创建为单个值、多个值 (逗号分隔或多行)、下拉列表和公式。

公式属性可用于基于多个因素的应用程序的自动分类。公式的构造块如下所示: 基本的 Excel 样函数 (计数， 如果和 MAX);算术运算符 (例如，appscan核心代理， ，%， *， >>);和其他特性的值， 这些属性使用应用程序中的数据和这些应用程序中的安全问题。通过这些构建块的组合， 可以构建属性来方便地对应用程序进行分类和排序。

将安全扫描与应用程序清单集成

为了实现有效的应用程序安全管理过程， 并为了更好地满足安全团队的需要， 应用程序清单显示了 AppScan?企业中报告的安全问题。无论发现方法如何， 所有安全问题都在应用程序配置文件中的单个视图中收集。将所有安全问题整合在一个地方， 而不是在单独的安全扫描报告中搜索它们， 这样就可以更好地了解应用程序的安全测试覆盖率和安全状态。尽管许多安全问题可以与应用程序关联，appscan报价， 但此视图很容易被筛选和排序， 以便能够有效地检索所需的信息。

要构建此统一视图， 安全扫描需要与应用程序相关联;然后， 在 AppScan?企业中发现的或导入的安全问题将立即显示在应用程序配置文件中。在连续执行这些安全扫描后， 安全问题将在应用程序配置文件中自动更新。

除了可搜索的安全问题列表外， 还在问题列表的顶部提供了基于其重要属性的问题的可视化摘要 (图 3)。通过这种方式， 用户可以根据当前任务需要完成的操作来利用此系统: 针对特定应用程序的所有扫描， 详细查看个别安全问题或汇总摘要。

此外， 可以根据在该应用程序上发现的安全问题的统计信息来创建应用程序公式属性。例如， 系统管理员可以创建应用程序属性， 以根据应用程序的安全性问题数量来确定应用程序风险 (图 4)。因此， 开发工作的相同数据被汇总到更高的视图中， 管理层将其决策作为基础。

图 3: 为应用程序找到的安全问题的交互式可视化摘要。单击这些图表的每一节都将相关筛选器应用到为应用程序报告的安全问题列表中。

图 3: 为应用程序发现的安全问题交互式可视化摘要。单击这些图表的每一节都将相关筛选器应用到为应用程序报告的安全问题列表中。图 4: 创建一个名为 "基于问题的风险" 的公式属性， 并根据安全性问题的数量计算其值。此视图有助于轻松识别 "汽车产品" 业务部门中的高风险应用程序。

appscan核心代理-华克斯-appscan由苏州华克斯信息科技有限公司提供。苏州华克斯信息科技有限公司（www.sinocax.com）拥有很好的服务与产品，不断地受到新老用户及业内人士的肯定和信任。我们公司是商盟认证会员，点击页面的商盟客服图标，可以直接与我们客服人员对话，愿我们今后的合作愉快！