【IT168 技术】摘要：近年来随着大数据，移动，社交，云计算等新兴技术的飞速发展，线上安全和隐私违规的越来越多，也为客户呈现出严重的挑战。企业，客户，业务合作伙伴和财务数据的暴露可能会对一个组织的身份产生不利影响，进而影响到客户、业务合作伙伴的关系和业务结果。Web应用程序特别吸引电脑黑客，因为他们往往是通往大量机密信息如客户文件和信用卡信息的途径。最近IBM钓鱼调查显示去年超过一半的安全漏洞是由于不安全的Web应用程序引起。

　　IBM提供了最完整的Web应用程序端到端的安全解决方案，帮助客户预先发现和纠正缺陷，实时阻止攻击和控制应用程序的访问。IBM AppScan系列产品就是这样一个基于Web漏洞的安全扫描工具，它为客户提供自动化和具有成本效益的方式，定位和修复关键Web应用程序中的安全问题。

　　本文以AppScan9.0.2版本为例结合项目实践，为读者提供一套完整的在源码检测环境中AppScan的安装和部署方案以飨读者。主要包括以下内容：

• 　　AppScan简介

• 　　AppScan部署模型

• 　　AppScan安装配置

• 　　AppScan优势分析

• 　　小结

　　1. AppScan简介

　　IBM Security AppScan是在整个应用生命周期中进行静态和动态应用安全性测试的产品，该产品是一个领先的Web应用安全测试工具，曾以Watchfire AppScan的名称享誉世界。AppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如SQL注入、跨站点脚本攻击、缓冲区溢出及最新的Flash/Flex应用及Web2.0应用曝露等方面安全漏洞的扫描。

　　IBM Security AppScan通过识别漏洞、提出智能修复建议并生成报告，轻松修复漏洞，从而帮助组织评估Web应用和移动应用的安全性、加强应用安全性计划管理并实现法规合规性。

　　IBM Security AppScan家族系列产品主要包括IBM Security AppScan Enterprise，IBM Security AppScan Standard，IBM Security AppScan Source，IBM Security AppScan Mobile Analyzer。下面就逐一做一介绍，方便读者理解其中区别与联系：

　　IBM Security AppScan Enterprise能够帮助组织缓解应用安全性风险，增强应用安全项目管理计划并实现合规，安全和开发团队能够在整个生命周期中协作，制定策略并扩展测试，能够对企业应用资产进行分类和优先排序，确定高风险区域，让修复工作事半功倍，同时提供绩效指标，有助于监控应用安全项目的进展。它可以提供：

• 　　使用多种测试方法的可扩展应用安全性测试

• 　　测试策略、扫描模板和漏洞修复建议，有助于实施应用安全性计划

• 　　详细的安全性报告，可提供风险和合规的可视性

　　IBMSecurity AppScan Standard通过自动执行应用安全性漏洞测试，帮助组织降低Web应用遭受攻击和数据泄露的风险。可在应用部署之前对其进行测试并在生产环境中持续进行风险评估以降低风险。它可以支持：

• 　　广阔的覆盖范围，可扫描和测试各种类型的应用安全漏洞

• 　　准确的扫描和先进的测试，实现高度准确性

• 　　利用经过优先排序的结果和修复建议，快速修复

• 　　增强的洞察力与合规性，可帮助管理合规性并察觉关键问题

　　IBM Security AppScan Source是通过在软件开发过程中及早识别基于web和移动应用源代码的漏洞，并在部署之前使之消失，帮助节省省成本，降低风险。它是将应用安全性测试功能整合到软件开发生命周期内。提供增强的移动应用扫描功能，并支持对移动Web、本机应用和混合应用的测试，其中包含对Javascript、Html5、Cordova、Java和Objective-C的支持。IBM Security AppScan Source 也支持与IBM Worklight Studio集成，并可扫描Worklight应用。它可以实现如下成果：

• 　　通过源代码分析，增强软件安全性，降低成本

• 　　通过集成提高了智能化水平，集成了现有工具和流程，如应用开发、构建集成和安全监控

• 　　安全性非常好的实践，通过对安全性策略的集中管理和实施

• 　　报告、治理与合规功能，促进对安全状态和问题的沟通

　　IBM Security AppScan Mobile Analyzer能够检测几十种常见的已经公布的安全漏洞，帮助组织保护移动应用。它支持在IBM Cloud Marketplace上试用和购买。作为应用开发生命周期的一部分，IBM Security AppScan Mobile Analyzer有助于在移动应用投入生产和部署之前，消除其中的安全漏洞。它提供了方便的应用扫描，而无需大量培训或事先准备。它可以实现：

• 　　在开发生命周期相应的阶段扫描移动应用

• 　　识别安全漏洞，识别恶意代码和其他安全威胁

• 　　交付详细报告，解释漏洞、潜在风险和补救的非常好的措施

　　AppScan Standard，AppScan Source和AppScan Mobile Analyzer的每个组件都必须与AppScan Enterprise Server通信才能发挥作用，该服务器提供集中的用户管理功能，以及一种通过AppScan Source数据库共享评估的机制。此外，如果管理员已经安装AppScan Enterprise Server的Enterprise Console组件，那么您可以向其发布评估。Enterprise Console提供各种用于处理评估的工具，例如报告功能、问题管理、趋势分析和仪表板。