华克斯(图)-appscan正版软件-appscan

IBM Rational AppScan

合理的 AppScan 源版软件集成

缺陷跟踪系统 (DTS) 的框架， 帮助您

调度合理 AppScan 源版软件问题

结合现有的流程， 使用现有的

优先级和严重性术语以及您现有的工作流。

企业现代化中的风险管理

传统应用程序的企业现代化也可以是

应用程序风险源。COBOL 仍然占近

80% 的世界积极使用 code1

和 web 接口

对于这些遗留应用程序， 将它们打开到不

在 20-40 年前编写代码时存在。

Rational AppScan 软件组合提供完整

企业现代化项目的安全保障

保护 web 接口并分析遗留代码以确定

安全漏洞。具有广泛的语言支持，

包括 J***a、. NET、c/c 和 COBOL 和健壮的集成

使用 ide， AppScan 源代码版本软件可帮助管理

安全风险和保护遗留资产的主动保护

应用程序。主要好处包括:

通过主动补救来有效地管理风险

应用程序漏洞

早期保护遗留资产的安全

应用程序生命周期

识别与多个

包括 J***a、. net (c#、VB.NET、ASP. net) 的语言，

c/c 和 COBOL 语言)

扩展静态测试以包括代码质量

许多领xian企业将安全性与软件集成在一起

使安全成为质量要素的发展过程

管理.随着安全性和质量的趋同，appscan正版软件， 静态代码

理性 AppScan 源版软件的分析能力

扩展到包括质量缺陷的识别。合理

AppScan 源码版软件现在还包括

IBM Rational 软件分析器提供的功能

软件到:

在编码时识别代码级质量缺陷， 帮助

节省时间和金钱

通过识别， 提高总体代码质量和可预测性

和解决潜在的编码错误

提供 kpi 以帮助开发人员学习***jia实践

提高项目知名度并更有效地管理

使用可自定义的管理和***遵从性

现成的报告

作为生成过程的一部分， 将代码质量分析自动化

集中式软件代码扫描解决方案

合理的 AppScan 源码版软件提供选项

使用 AppScan 源从 IDE 执行质量测试

开发者软件和 AppScan 版本

用于修复软件或 AppScan 的生成系统

自动化软件的源代码版本。通过扩展静态

分析包括质量检测、合理 AppScan 源

编辑软件可以帮助客户端持续执行代码

质量***jia实践， 更快的上市和更高的时间

客户满意度。

IBM Rational AppScan 企业版

应用安全测试和风险管理

IBM AppScan 瞄准保护闪存

Adobe 的 Flash 遍布整个网络， 用于视频和其他类型的多媒体内容。但 Flash 也是一种可能被黑ke滥用的技术， 这是 IBM 的 Rational 单位希望通过新版本的 AppScan 应用程序漏洞扫描技术来防止的问题。

新的 AppScan 7.8 发行版专门针对来自 Web 应用程序的新威胁， 其中许多现在依赖于 Flash 和 AJAX。

随着网络应用程序在消费者和企业中的知名度不断提高， 随着这些应用程序的安全漏洞， 带来了潜在的***。新的 AppScan 发布是在 IBM 的一份报告中提出的， 它声称2008年的所有漏洞披露中有将近55% 涉及现成的 Web 应用程序。

"下一代 Web 应用程序正在引入新的问题，appscan， 如 Flash 的普及使用，" IBM Rational 的安全和***遵从性解决方案主管戴维？格兰特告诉 。"在过去用于 brochureware 和内容之前， Flash 现在被用于业务应用程序。这些新的应用程序正在引入新的漏洞， 黑ke可能会妥协。

AppScan 7.8 发布是自2007年11月以来 AppScan 产品阵容的第yi个主要更新。IBM 收购了 AppScan 产品组合， 这是该年6月收购安全供应商 Watchfire 的一部分。

与 AppScan 7.8， ***是在一系列的 flash 应用程序， 包括 flash 视频文件 (. flv)， 以及 adobe Flex 和 adobe air 应用程序运行 flash。

丹尼艾伦， 在 IBM Rational 安全研究主任， 补充说， 有应用程序的漏洞， 与来回走在 "***" (Acti***cript 消息格式) 格式--由 Flex 用来与后端服务器通信的核心协议--可能导致 SQL 注入或缓冲区溢出。AppScan 7.8 扫描引擎可以扫描 Web 应用程序的潜在漏洞和其他 Flash 相关的弱点， 以帮助开发人员和安全***人员识别和缓解安全问题。

虽然艾伦声称，appscan报价， AppScan 7.8 将测试任何将运行在 adobe Flex， adobe 空气以及内容什么将运行在一个 flash 播放器， 仍然有一个关键的缺失片-真正的 flash 播放器本身。

Adobe 经常修补其 Flash 播放器应用程序的安全漏洞。但是， 没有使用***xin版本的用户仍可能面临安全问题的威胁， 这是 IBM 打算解决的问题。

艾伦说: "IBM 的理性是在寻找 flash 应用程序中的跨站点脚本和类型注入， 而不是看 flash 播放器。

不过， 艾伦还补充说， IBM 正在进行大量的研究， 以确定如何正确地保护应用程序交付的客户端， 而不仅仅是 Flash。

艾伦说: "如果你想到一个在他们的机器上有一个特洛yi木马程序的客户端， 这个应用程序就会因为那个木马而受到威胁。"在服务器端， 存在一个无法控制的真正弱点， 那就是客户端是否受到了损害。

[机芯: Special_Report]艾伦承认， 缺乏对客户端的可见性是一个目前的弱点， 但他说， 在未来两年， 将有更多的关注， 以确定如何确保它以及。

作为 Web 应用程序和客户端问题而出现的其他问题之一是 "劫持" 问题。在劫持攻击中， 黑ke会隐藏另一个合法按钮后面的按钮， 这样用户的单击就会产生意外的操作。该操作可能导致信息泄漏丢失， 因为攻击者可能会使用它来获取用户的登录凭据。

目前， 有两种主要的方法来处理从 Web 端的劫持， 每个都依赖于一种称为 "framebusting" 的技术。该技术可确保敏感内容 (如登录框) 不能从站点中断开并放置到另一个站点的隐藏框架中。有一种 J***aScript-based 的 framebusting 方法， 同时还有一种方法，appscan***商， 它依赖于名为 X 帧选项的 HTTP 响应报头， 这是微软 IE 8 使用的策略。艾伦声称， AppScan 7.8 包括对这两种方法的支持。

随着 AppScan 7.8 发布， ibm rational 也推出了一个新的 SaaS-based 实时生产服务器测试工具， 称为 ibm 的理性 AppScan OnDemand。艾伦指出， OnDemand 的产品不会有足够的***性， 影响了现场服务器的性能。安全扫描供应商 Cenzic 使用 VMware-based 虚拟化对实时服务器进行快照， 并针对快照进行测试， 使用不同的方法进行实时服务器扫描。

通过基于Web的培训解决***的安全

和遵从性管理问题

该IBM Rational AppScan产品家族包括基于Web的培训、基

于经验丰富的***的在线自助式培训、从复杂的Web环境客户

部署实践中总结的***jia实践。除了基本的产品介绍外，该服务

还为开发人员、QA团队和安全***提供有针对性的建议。

该服务模块每15分钟便提交一次并进行归档，用户可从任何

地方在任何时间进行访问。在特定的***实验时间，用于还

可以通过Rational AppScan访问实时向导。

整个指导过程有三个级别的产品知识证书测试，管理员可

以通过在线管理指示板或者Rational AppScan Enterprise

Edition中的指示板跟踪员工的学习过程。