IBM APPscan是一款由IBM打造的web应用安全测试工具,这款软件可以帮助开发者进行应用的安全漏洞评估工作,帮助组织缓解应用安全风险、增强应用安全计划并实现合规。安全和开发团队能够在整个应用生命周期中协作、制定策略并扩展测试。
IBM AppScan该产品是一个领先的 Web 应用安全测试工具,曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site scripting)、缓冲区溢出(buffer overflow)及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
个人认为appscan扫描太慢,不如WVS扫描快,可配合使用
可扩展的应用安全测试
可扩展的企业架构能支持多个应用安全测试人员。AppScan Enterprise 提供用于测试 Web、非 Web 以及移动应用的方法,包括动态、静态和交互性分析。它可以基于 IBM X-Force 数据库,对网站进行扫描,寻找恶意网站链接,结合动态和静态的分析技术,识别客户端 JavaScript 中的漏洞。它还可以汇总动态和静态分析,提供增强的报告功能。
测试策略、扫描模板和提供建议
AppScan Enterprise 支持策略定义和扫描模板以监管应用安全测试。它可以提供漏洞建议、修复建议和内置培训视频,对开发团队进行培训。AppScan Enterprise 通过新的高级应用扫描和修复功能、企业应用安全状态指标、关键法规合规性报告以及与 IBM Security AppScan Standard 的无缝集成,提供集中控制。
详细的安全性报告和企业级仪表板
AppScan Enterprise 帮助按照业务影响对应用资产进行分类和优先排序,确定高风险区域。您可以清晰了解由已确定的漏洞导致的安全性和合规性风险,并通过绩效指标显示进度。
基于风险的应用安全管理
借助 AppScan Enterprise 9.0 或更高版本,组织可以根据自己的策略对风险进行定义。衡量应用上的风险可能取决于多个因素,例如访问、业务影响或安全威胁的重要性等。这些因素可以进行定制并编入 AppScan Enterprise 的计算。管理员可以定义风险衡量规则,然后根据风险级别对应用进行自动分类或排序,帮助他们利用更少资源做出可靠决策。