{有奖问答}使用 Rational AppScan 如何保证 Web 应用的安全性？

fishy

{有奖问答}使用 Rational AppScan 如何保证 Web 应用的安全性？

ivaniccy

通过：
1. 开发过程中的安全保障
2.质量管理过程中的安全保障
3.在集成和发布阶段中的安全保障
4.对诊断结果进行全面的分析和报告
来保证web应用的安全性

juliett

1、依据AppScan 庞大完整的攻击特征库，通过在 http request 中插入测试用例的方法实现几百中应用攻击，定义一个扫描，还可以进行一系列高级配置，制定所要检测的 Web 模型，即哪些需要扫描、哪些不需
要、扫描的方式等等,也可以定义需要扫描漏洞的列表；

2、支持的扫描配置有：
Starting URL：起始 URL，制定被测应用的起始地址
Custom Error Pages：制定错误网页提高测试效率
Session IDs：管理测试过程中的 session
Automatic Server Detection：自动检测应用所在的应用服务器、web server、操作系统
Exclusion and Inclusion：制定哪些 Web 被扫描或者被排除，哪些文件类型不被扫描
Scan Limits：其他高级扫描限制，例如扫描次数限制等
Advanced：扫描的方式，是宽度扫描还是深度扫描
Communication Settings：对扫描中的延时、线程数量进行配置
Proxy Settings：代理设置vLogin/logout：对被测应用的登陆进行设置，可以采用录制回放的方式、也可以使用自动登陆的方式
configure a Test Policy: 配置测试测量，即想测试哪些漏洞。
……

3、AppScan 提供了完善的报表功能，可以支持用户对扫描的结果进行各种分析，包括对行业或者法规的支持程度；同时，AppScan 也提供了一系列的小工具，例如：Authentication Tester 通过暴力检测方法扫描被测网站的用户名称和密码；HTTP Request Editor 提供了编辑 Http request 的功能，等等。

4、在检测出安全漏洞之后，AppScan 又提供了全面的解决方案帮助客户快速解决这些问题，最大化的保证 Web 应用的安全。

5、WatchFire 团队定期的对特征库进行更新。

6、在整个软件开发生命周期中的各个阶段，Rational AppScan 都可以被使用，全面的保障了软件的安全性
  6.1 开发人员使用 AppScan
开发人员在开发过程中可以使用 AppScan 或者专用插件，随时开发随时测试，最大化的保证个人开发程序的安全性。越早发现问题，解决问题的成本就越低，这为 Web 应用的安全提供了最为坚实的基础保障。
  6.2测试人员使用 AppScan
系统测试人员使用 AppScan 对应用做全面的测试，一旦发现问题，可以快速的生成 defect，通过与 ClearQuest 的集成可以实现 defect 电子化跟踪，再传递到开发人员手中，指导开发人员迅速解决问题。极大的提高了开发团队的开发效率，也提供了完整了沟通平台解决方案。
  6.3 审核人员上线前使用 AppScan
这是系统上线前的安全质量关卡。任何系统上线都应该经过严格的上线测试，这也最大化的减少了上线后问题的出现，避免生产系统上线后给企业带来的巨额损失。
  6.4 上线后审计、监控人员使用 AppScan
上线的系统应该定期检测，一旦出现问题更应该及时检测，越快速的定位发现问题，损失就会越小。

cjh0901

1、AppScan DE （AppScan 开发版）可以作为多种平台的插件，这些平台包括 Eclipse 、 WebSphere 、 Visual Studio 、 JBuilder ，协助开发人员对编写的模块进行自我安全诊断。
2、在集成和发布阶段，可以通过简单的配置，使用 AppScan 对应用进行全面的扫描，企业仅需要指明Web应用的入口链接， AppScan 就会利用网络爬行（Crawling）技术，遍历应用中所有需要测试的链接，并对每个链接发送多种测试参数，诊断其有无漏洞可被利用。最后将结果呈现在用户面前。
3、Rational AppScan 不仅可以对Web应用进行自动化的扫描、指出安全漏洞的修复意见，还可以将诊断结果，使用不同的行业标准、法规，形成针对性的报告，让相关人员对应用安全状况和法规遵从等有了全面的认识。

happygod

1) 开发过程中的安全保障
AppScan DE（AppScan 开发版）可以作为多种平台的插件，这些平台包括 Eclipse、WebSphere、Visual Studio、JBuilder，协助开发人员对编写的模块进行自我安全诊断。图 7 是 AppScan DE 作为 Visual Studio 插件使用的示例。
2) 质量管理过程中的安全保障
通过和 Rational ClearQuest 的集成，AppScan 可以将发现的安全隐患方便的导入到变更管理平台中，确保发现的每一个问题，都被记录，并详细跟踪其在整个修复过程中的状态变化。
3) 在集成和发布阶段中的安全保障
在集成和发布阶段，可以通过简单的配置，使用 AppScan 对应用进行全面的扫描，企业仅需要指明 Web 应用的入口链接，AppScan 就会利用网络爬行（Crawling）技术，遍历应用中所有需要测试的链接，并对每个链接发送多种测试参数，诊断其有无漏洞可被利用。最后将结果呈现在用户面前。
4) 对诊断结果进行全面的分析和报告
Rational AppScan 不仅可以对 Web 应用进行自动化的扫描、指出安全漏洞的修复意见，还可以将诊断结果，使用不同的行业标准、法规，形成针对性的报告，让相关人员对应用安全状况和法规遵从等有了全面的认识。