兼职小娇妻【IT168技术】摘要:近年来随着大数据,移动,社交,云计算等新兴技术的飞速发展,线上安全和隐私违规的越来越多,也为客户呈现出严重的挑战。企业,客户,业务合作伙伴和财务数据的可能会对一个组织的身份产生不利影响,进而影响到客户、业务合作伙伴的关系和业务结果。Web应用程序特别吸引电脑黑客,因为他们往往是通往大量机密信息如客户文件和信用卡信息的途径。最近IBM钓鱼调查显示去年超过一半的安全漏洞是由于不安全的Web应用程序引起。
IBM提供了最完整的Web应用程序端到端的安全解决方案,帮助客户预先发现和纠正缺陷,实时和控制应用程序的访问。IBM AppScan系列产品就是这样一个基于Web漏洞的安全扫描工具,它为客户提供自动化和具有成本效益的方式,定位和修复关键Web应用程序中的安全问题。
本文以AppScan9.0.2版本为例结合项目实践,为读者提供一套完整的在源码检测环境中AppScan的安装和部署方案以飨读者。主要包括以下内容:
IBM Security AppScan是在整个应用生命周期中进行静态和动态应用安全性测试的产品,该产品是一个领先的Web应用安全测试工具,曾以Watchfire AppScan的名称享誉世界。AppScan可自动化Web应用的安全漏洞评估工作,能扫描和检测所有常见的Web应用安全漏洞,例如SQL注入、跨站点脚本、缓冲区溢出及最新的Flash/Flex应用及Web2.0应用曝露等方面安全漏洞的扫描。
IBM Security AppScan通过识别漏洞、提出智能修复并生成报告,轻松修复漏洞,从而帮助组织评估Web应用和移动应用的安全性、加强应用安全性计划管理并实现法规合规性。
IBM Security AppScan Enterprise能够帮助组织缓解应用安全性风险,增强应用安全项目管理计划并实现合规,安全和开发团队能够在整个生命周期中协作,制定策略并扩展测试,能够对企业应用资产进行分类和优先排序,确定高风险区域,让修复工作事半功倍,同时提供绩效指标,有助于应用安全项目的进展。它可以提供:
IBMSecurity AppScan Standard通过自动执行应用安全性漏洞测试,帮助组织降低Web应用遭受和数据泄露的风险。可在应用部署之前对其进行测试并在生产环境中持续进行风险评估以降低风险。它可以支持:
IBM Security AppScan Source是通过在软件开发过程中及早识别基于web和移动应用源代码的漏洞,并在部署之前使之消失,帮助节省省成本,降低风险。它是将应用安全性测试功能整合到软件开发生命周期内。提供增强的移动应用扫描功能,并支持对移动Web、本机应用和混合应用的测试,其中包含对Javascript、Html5、Cordova、Java和Objective-C的支持。IBM Security AppScan Source 也支持与IBM Worklight Studio集成,并可扫描Worklight应用。它可以实现如下:
IBM Security AppScan Mobile Analyzer能够检测几十种常见的已经公布的安全漏洞,帮助组织移动应用。它支持在IBM Cloud Marketplace上试用和购买。作为应用开发生命周期的一部分,IBM Security AppScan Mobile Analyzer有助于在移动应用投入生产和部署之前,消除其中的安全漏洞。它提供了方便的应用扫描,而无需大量培训或事先准备。它可以实现:
根据项目实际需求,我们只需做build环境源码检测,所以我们选择的是AppScan Source产品,AppScan Source产品必须与与AppScan Enterprise Server结合使用,它支持若干部署选项以满足不同的组织要求。产品解决方案包括客户机和服务器组件,且每个组件用于特定目的。一些部署模型需要所有组件,而其他部署只需要一些组件。此外,一些信息技术策略需要将特定服务器组件部署在多立计算机上,而不是将所有组件部署在一台计算机上。
AppScan Source产品常用的部署模型大概有三种:标准桌面型部署,小工作组部署和企业工作组部署。最符合您需求的部署可能是这三种模型的组合。表1提供了对每种部署所需产品或组件的描述:
本文将结合源码检测的实际环境,重点介绍标准桌面型部署模型。标准桌面部署用于小型组织中的单个AppScan Source用户,或在现场和非现场执行安全性评估的安全性分析员和审计员。它假定不进行缺陷系统集成或构建集成(使用AppScan Source for Automation)。该部署模型包括安装在一台计算机(如台式机)上的两个AppScan Source组件:AppScan Source for Analysis(客户机)和AppScan Enterprise Server。桌面部署模型聚焦于扫描结果以及个体工作效率和便利性,而不是在众多计算机上部署AppScan Source的能力以及关于团队合作的优化。
对于该模型,用户使用AppScan Source管理账户,向AppScan Enterprise Server进行认证,并且预期不执行LADP目录服务器集成。该模型假定计算机上的源代码控制管理客户机提供对源代码的访问权限,或者源代码驻留在计算机上。
AppScan Enterprise和AppScan Source组件的安装需要正确的软硬件、操作系统和其他因素的支持,表2提供了该软件所需的硬件和软件摘要,根据项目的实际需求,源码检测的部署环境为标准桌面型部署,此方案仅使用AppScan Enterprise Server的“用户管理”组件来进行AppScan Source部署,该方案所要满足的需求如下表所示:
安装拓扑结构通常是对部署模型的说明,源码检测环境中Rational license server 采用IBM内部license server,无需安装,AppScan Enterprise Server和其他所有的组件都安装在本地服务器上,您也可以在不同的服务器上分别安装相应的服务器组件。图2的拓扑是对源码检测环境中安装部署关联关系的一种说明:
9. 配置LDAP设置,请选择LDAP服务器类型,一些LDAP配置字段已经预先填写,需要检查这些字段对自己的环境是否正确。
AppScan Source组件是为安全分析人员、质量人员、开发人员等执行源码检测并出具检测报告的客户端,其安装配置过程如下:
3. 在组件安装面板中,选择要安装的组件。AppScan Source组件分为服务器和客户机组件,这里我们全部勾选:
d. 输入了服务器设置后,单击测试连接以确保服务器将可供连接到 AppScan Source。
5. 如果在“服务器组件选择”页面中选择了安装 IBM Security AppScan Source 数据库组件,那么将显示数据库选择面板。我们选择默认选项,单击下一步:
6. 缺省数据库管理员用户名和密码均为dba。您无法更改此用户名,但是可以更改密码,保持默认单击下一步。
8. 安装语言包时如果用户界面在正运行此语言环境的操作系统上运行,那么该用户界面将以此语言来显示。
9. 在AppScan Enterprise Server配置面板中,选中立即配置,输入对应的URL 和账号密码,进入下一步完成安装。
10. 在“安装完成”面板中,可通过选择启动 IBM Security AppScan Source License Manager 来在退出安装向导后立即启动产品激活。单击完成以完成标准安装,并退出“安装向导”
安装完成后,根据用户指定的账号密码完成登录,以现有的URL格式指定AppScan Enterprise Server的主机名,对于本方案,我们指定或 localhost。
IBM Security AppScan是一个是一个自动化的web应用安全解决方案,能够精确指出重大漏洞,并为如何修正这些问题提供咨询,降低业务风险,是提供问题可视性的最佳安全实践,并可以通过智能测试和自动扫描降低成本。AppScan的主要目标受众为信息安全专业人员,如IT安全管理人员,安全审计人员,渗透测试人员,开发经理和测试经理等
AppScan是唯一的一个可以在整个软件开发生命周期中管理检测漏洞的产品,它包括静态应用程序安全测试(SAST)和动态应用程序安全性测试(DAST)以及创新技术,例如玻璃盒子测试,这是一个交互式应用程序安全测试(IAST)与运行时分析功能。同时AppScan可以提供最完整的应用程序安全测试解决方案,测试针对服务器和客户端移动应用程序中的漏洞,是支持动态和静态应用程序安全性测试的最好的产品,继续领导支持Javascript/AJAX框架,包括jquery,dojo,ICEces等,继续领导支持flash,包括支持actionscript2.0/3.0和flex技术,还包括对其他应用程序语言的广泛支持。
本文结合项目实践,全面介绍了IBM Security AppScan产品以及安装部署过程,并给出了相关的价值分析,使读者对AppScan有一个全面的了解,旨在帮助读者和相关的信息安全专业人员在选择安全检测产品并进行源码分析的过程中提供参考。信息技术发展迅速,移动、社交、云计算等新兴技术的飞速发展必然带来更多的信息安全问题,安全漏洞直接影响其到企业和用户的切身利益,因此不可小觑。IBM Security AppScan从源头抓起,在整个软件开发的生命周期中全程提供漏洞和安全检测,从根本上杜绝了隐患的发生,为用户提供安全保障的同时,也节省了成本。
文章由325棋牌提供发布
网友评论 ()条 查看