【IT168 技术】摘要：近年来随着大数据，移动，社交，云计算等新兴技术的飞速发展，线上安全和隐私违规的越来越多，也为客户呈现出严重的挑战。企业，客户，业务合作伙伴和财务数据的暴露可能会对一个组织的身份产生不利影响，进而影响到客户、业务合作伙伴的关系和业务结果。Web应用程序特别吸引电脑黑客，因为他们往往是通往大量机密信息如客户文件和信用卡信息的途径。最近IBM钓鱼调查显示去年超过一半的安全漏洞是由于不安全的Web应用程序引起。

　　IBM提供了最完整的Web应用程序端到端的安全解决方案，帮助客户预先发现和纠正缺陷，实时阻止攻击和控制应用程序的访问。IBM AppScan系列产品就是这样一个基于Web漏洞的安全扫描工具，它为客户提供自动化和具有成本效益的方式，定位和修复关键Web应用程序中的安全问题。

　　本文以AppScan9.0.2版本为例结合项目实践，为读者提供一套完整的在源码检测环境中AppScan的安装和部署方案以飨读者。主要包括以下内容：

• 　　AppScan简介

• 　　AppScan部署模型

• 　　AppScan安装配置

• 　　AppScan优势分析

• 　　小结

　　1. AppScan简介

　　IBM Security AppScan是在整个应用生命周期中进行静态和动态应用安全性测试的产品，该产品是一个领先的Web应用安全测试工具，曾以Watchfire AppScan的名称享誉世界。AppScan可自动化Web应用的安全漏洞评估工作，能扫描和检测所有常见的Web应用安全漏洞，例如SQL注入、跨站点脚本攻击、缓冲区溢出及最新的Flash/Flex应用及Web2.0应用曝露等方面安全漏洞的扫描。

　　IBM Security AppScan通过识别漏洞、提出智能修复建议并生成报告，轻松修复漏洞，从而帮助组织评估Web应用和移动应用的安全性、加强应用安全性计划管理并实现法规合规性。

　　IBM Security AppScan家族系列产品主要包括IBM Security AppScan Enterprise，IBM Security AppScan Standard，IBM Security AppScan Source，IBM Security AppScan Mobile Analyzer。下面就逐一做一介绍，方便读者理解其中区别与联系：

　　IBM Security AppScan Enterprise能够帮助组织缓解应用安全性风险，增强应用安全项目管理计划并实现合规，安全和开发团队能够在整个生命周期中协作，制定策略并扩展测试，能够对企业应用资产进行分类和优先排序，确定高风险区域，让修复工作事半功倍，同时提供绩效指标，有助于监控应用安全项目的进展。它可以提供：

• 　　使用多种测试方法的可扩展应用安全性测试

• 　　测试策略、扫描模板和漏洞修复建议，有助于实施应用安全性计划

• 　　详细的安全性报告，可提供风险和合规的可视性

　　IBMSecurity AppScan Standard通过自动执行应用安全性漏洞测试，帮助组织降低Web应用遭受攻击和数据泄露的风险。可在应用部署之前对其进行测试并在生产环境中持续进行风险评估以降低风险。它可以支持：

• 　　广阔的覆盖范围，可扫描和测试各种类型的应用安全漏洞

• 　　准确的扫描和先进的测试，实现高度准确性

• 　　利用经过优先排序的结果和修复建议，快速修复

• 　　增强的洞察力与合规性，可帮助管理合规性并察觉关键问题

　　IBM Security AppScan Source是通过在软件开发过程中及早识别基于web和移动应用源代码的漏洞，并在部署之前使之消失，帮助节省省成本，降低风险。它是将应用安全性测试功能整合到软件开发生命周期内。提供增强的移动应用扫描功能，并支持对移动Web、本机应用和混合应用的测试，其中包含对Javascript、Html5、Cordova、Java和Objective-C的支持。IBM Security AppScan Source 也支持与IBM Worklight Studio集成，并可扫描Worklight应用。它可以实现如下成果：

• 　　通过源代码分析，增强软件安全性，降低成本

• 　　通过集成提高了智能化水平，集成了现有工具和流程，如应用开发、构建集成和安全监控

• 　　安全性非常好的实践，通过对安全性策略的集中管理和实施

• 　　报告、治理与合规功能，促进对安全状态和问题的沟通

　　IBM Security AppScan Mobile Analyzer能够检测几十种常见的已经公布的安全漏洞，帮助组织保护移动应用。它支持在IBM Cloud Marketplace上试用和购买。作为应用开发生命周期的一部分，IBM Security AppScan Mobile Analyzer有助于在移动应用投入生产和部署之前，消除其中的安全漏洞。它提供了方便的应用扫描，而无需大量培训或事先准备。它可以实现：

• 　　在开发生命周期相应的阶段扫描移动应用

• 　　识别安全漏洞，识别恶意代码和其他安全威胁

• 　　交付详细报告，解释漏洞、潜在风险和补救的非常好的措施

　　AppScan Standard，AppScan Source和AppScan Mobile Analyzer的每个组件都必须与AppScan Enterprise Server通信才能发挥作用，该服务器提供集中的用户管理功能，以及一种通过AppScan Source数据库共享评估的机制。此外，如果管理员已经安装AppScan Enterprise Server的Enterprise Console组件，那么您可以向其发布评估。Enterprise Console提供各种用于处理评估的工具，例如报告功能、问题管理、趋势分析和仪表板。

　　2. AppScan部署模型

　　根据项目实际需求，我们只需做build环境源码检测，所以我们选择的是AppScan Source产品，AppScan Source产品必须与与AppScan Enterprise Server结合使用，它支持若干部署选项以满足不同的组织要求。产品解决方案包括客户机和服务器组件，且每个组件用于特定目的。一些部署模型需要所有组件，而其他部署只需要一些组件。此外，一些信息技术策略需要将特定服务器组件部署在多台独立计算机上，而不是将所有组件部署在一台计算机上。

　　AppScan Source产品常用的部署模型大概有三种：标准桌面型部署，小工作组部署和企业工作组部署。最符合您需求的部署可能是这三种模型的组合。表1提供了对每种部署所需产品或组件的描述：

　　表1：AppScan Source组件

　　注意：扫描时，AppScan Enterprise Server和 AppScan Source客户机都需要直接连接到AppScan Source数据库(Source for Development除外)，可以选择solidDB或者Oracle数据库。

　　本文将结合源码检测的实际环境，重点介绍标准桌面型部署模型。标准桌面部署用于小型组织中的单个AppScan Source用户，或在现场和非现场执行安全性评估的安全性分析员和审计员。它假定不进行缺陷跟踪系统集成或构建集成(使用AppScan Source for Automation)。该部署模型包括安装在一台计算机(如台式机)上的两个AppScan Source组件：AppScan Source for Analysis(客户机)和AppScan Enterprise Server。桌面部署模型聚焦于扫描结果以及个体工作效率和便利性，而不是在众多计算机上部署AppScan Source的能力以及关于团队合作的优化。

　　对于该模型，用户使用AppScan Source管理账户，向AppScan Enterprise Server进行认证，并且预期不执行LADP目录服务器集成。该模型假定计算机上的源代码控制管理客户机提供对源代码的访问权限，或者源代码驻留在计算机上。

　　图1显示了客户机和服务器组件位于同一计算机上的标准桌面部署：

▲图1 源代码控制管理器客户机

　　3. AppScan安装配置

　　3.1 安装需求

　　AppScan Enterprise和AppScan Source组件的安装需要正确的软硬件、操作系统和其他因素的支持，表2提供了该软件所需的硬件和软件摘要，根据项目的实际需求，源码检测的部署环境为标准桌面型部署，此方案仅使用AppScan Enterprise Server的“用户管理”组件来进行AppScan Source部署，该方案所要满足的需求如下表所示：

　　表2：安装需求

　　注意：如果是在Linux64位系统上面安装AppScan Source，需要预先安装以下32位库才能成功安装AppScan Source：

　　l libX11.i686

　　l libXtst.i686

　　l gtk2.i686

　　l glibc.i686

　　l libgcc.i686

　　l webkitgtk.i686

　　3.2 拓扑结构

　　安装拓扑结构通常是对部署模型的说明，源码检测环境中Rational license server 采用IBM内部license server，无需独立安装，AppScan Enterprise Server和其他所有的组件都安装在本地服务器上，您也可以在不同的服务器上分别安装相应的服务器组件。图2的拓扑是对源码检测环境中安装部署关联关系的一种说明：

▲图2 拓扑结构

　　3.3 AppScan Enterprise Server安装配置

　　在安装AppScan Enterprise Server之前，需要先保证您已安装了Rantional License Server ，在我们的源码检测环境中，使用IBM内部License Server，故在这里不再赘述

　　过程：

　　1. 下载IBM Security AppScan Enterprise Server产品zip文件，下载安装文件到指定目录，以root访问权限登录。

　　2. 输入#ls –l AppScanServerSetup_9.0.2.bin ，确保在结果中看到-rwxrwxr-x

　　3. 运行.bin文件，输入#./AppScanServerSetup_9.0.2.bin并单击Enter以开始安装程序

▲图3-1 执行安装程序

　　4. 选取安装语言，并单击确定，进入下一步。

▲图3-2 选择安装语言

　　5. 接受许可协议中的条款。

　　6. 选择安装文件夹(缺省位置为/opt/IBM/AppScan_Server)。

▲图3-3 缺省安装目录

　　7. 复审安装摘要，然后单击安装，文件将被复制到linux计算机上。

　　8. 配置Liberty Server名称、端口号(缺省为9443)和Rational License Server名称单击下一步。

▲图3-4 配置Server名称和端口号

　　9. 配置LDAP设置，请选择LDAP服务器类型，一些LDAP配置字段已经预先填写，需要检查这些字段对自己的环境是否正确。

　　a. 如果LDAP服务器支持SSL,请使用SSL连接到LDAP服务器复选框。

　　b. 输入LDAP服务器主机名和端口号(缺省为389)，以及基本的DN。

　　c. 如果需要在LDAP服务器上认证，请输入绑定DN和绑定密码。单击进入下一步。

▲图3-5 配置LDAP

　　10. 配置产品管理员的用户名，进入下一步，配置Liberty服务之后，安装完成。

　　安装完成后，AppScan Source管理员可以连接到linux上的Appscan Server以验证和管理他们的用户。

　　3.3 AppScan Source安装配置

　　AppScan Source组件是为安全分析人员、质量保证人员、开发人员等执行源码检测并出具检测报告的客户端，其安装配置过程如下：

　　过程：

　　1. 下载AppScan Source 产品安装.zip文件到指定目录，以root权限登录并执行./setup文件。

　　#./setup.bin

▲图3-6 执行安装程序

　　2. 选择安装语言，点击下一步并继续。

　　3. 在组件安装面板中，选择要安装的组件。AppScan Source组件分为服务器和客户机组件，这里我们全部勾选：

▲图3-7 选择组件

　　4. 在服务器连接面板中，选择您将要连接到的AppScan Enterprise Server选项，如果已经在本地机器上检测到AppScan Enterprise Server的兼容版本，将显示“将使用此机器上找到的实例”选项，如果使用AppScan Source时连接到此Enterprise Server请选择此选项。

　　a. AppScan Enterprise Server：以现有 URL 格式指定远程 AppScan Enterprise Server 实例的主机名。

　　b. 用户标识：指定您的 AppScan Enterprise Server 用户标识。

　　c. 密码：为您的 AppScan Enterprise Server 用户标识指定密码。

　　d. 输入了服务器设置后，单击测试连接以确保服务器将可供连接到 AppScan Source。

　　e. 让我在不指定服务器的情况下继续：选择该选项可在不指定服务器的情况下继续操作。

▲图3-8 连接服务器

　　5. 如果在“服务器组件选择”页面中选择了安装 IBM Security AppScan Source 数据库组件，那么将显示数据库选择面板。我们选择默认选项，单击下一步：

▲图3-9 选择数据库

　　6. 缺省数据库管理员用户名和密码均为dba。您无法更改此用户名，但是可以更改密码，保持默认单击下一步。

▲图3-10 配置数据库

　　7. 配置IBM solidDB AppScan Source用户面板保持默认的配置，对AppScan Source数据库进行读写操作的所有组件都适用该账户。

▲图3-11 用户配置

　　8. 安装语言包时如果用户界面在正运行此语言环境的操作系统上运行，那么该用户界面将以此语言来显示。

　　9. 在AppScan Enterprise Server配置面板中，选中立即配置，输入对应的URL 和账号密码，进入下一步完成安装。

▲图 3-12 配置服务器

　　10. 在“安装完成”面板中，可通过选择启动 IBM Security AppScan Source License Manager 来在退出安装向导后立即启动产品激活。单击完成以完成标准安装，并退出“安装向导”

▲图3-13 导入license

　　3.3 登录AppScan Source

　　安装完成后，根据用户指定的账号密码完成登录，以现有的URL格式指定AppScan Enterprise Server的主机名，对于本方案，我们指定https://localhost:9443/ase/ 或 localhost。

▲图3-14 登录AppScan

　　4. AppScan优势分析

　　IBM Security AppScan是一个是一个自动化的web应用安全解决方案，能够精确指出重大漏洞，并为如何修正这些问题提供咨询，降低业务风险，是提供问题可视性的非常好的安全实践，并可以通过智能测试和自动扫描降低成本。AppScan的主要目标受众为信息安全专业人员，如IT安全管理人员，安全审计人员，渗透测试人员，开发经理和测试经理等

　　AppScan是唯一的一个可以在整个软件开发生命周期中管理检测漏洞的产品，它包括静态应用程序安全测试(SAST)和动态应用程序安全性测试(DAST)以及创新技术，例如玻璃盒子测试，这是一个交互式应用程序安全测试(IAST)与运行时分析功能。同时AppScan可以提供最完整的应用程序安全测试解决方案，测试针对服务器和客户端移动应用程序中的漏洞，是支持动态和静态应用程序安全性测试的最好的产品，继续领导支持Javascript/AJAX框架，包括jquery，dojo，ICEfaces等，继续领导支持flash，包括支持actionscript2.0/3.0和flex技术，还包括对其他应用程序语言的广泛支持。

　　5. 小结

　　本文结合项目实践，全面介绍了IBM Security AppScan产品以及安装部署过程，并给出了相关的价值分析，使读者对AppScan有一个全面的了解，旨在帮助读者和相关的信息安全专业人员在选择安全检测产品并进行源码分析的过程中提供参考。信息技术发展迅速，移动、社交、云计算等新兴技术的飞速发展必然带来更多的信息安全问题，安全漏洞直接影响其到企业和用户的切身利益，因此不可小觑。IBM Security AppScan从源头抓起，在整个软件开发的生命周期中全程提供漏洞和安全检测，从根本上杜绝了隐患的发生，为用户提供安全保障的同时，也节省了成本。

　　6. 参考资料

　　1. IBM Security AppScan Enterprise Server 帮助文档

　　2. IBM Security AppScan Source 帮助文档

　　3. IBM Security Application Security Portfolio sales kit

　　http://w3-03.ibm.com/software/spcn/content/S204974P97441A91.html#overviewb

　　作者简介：

　　邢乃乾(IT服务专家)

　　任职于某大型外资IT企业，从事Security Compliance Management及 Source Code Inspection Management工作，熟悉各种类型服务器安全策略及IBM安全相关产品，拥有丰富的管理经验。