IBM Rational AppScan

a) Giới thiệu công cụ

Đây là một phần mềm quét mã nguồn, đƣợc IBM giới thiệu ngày 22/9/2008 sau khi đƣợc mua lại và cải tiến phần mềm của hãng Watchfire, đƣợc thiết kế để phát hiện ra các lỗi bảo mật khi chƣơng trình đang trong giai đoạn phát triển.

Phần mềm AppScan của Watchfire có thể tìm lỗi ngay khi ứng dụng có thể chạy đƣợc. Vì vậy nó có thể phát hiện ra các lỗ hổng suốt quá trình phát triển phần mềm. Trong IBM AppScan, các công cụ phân tích mã nguồn đƣợc tích hợp với Rational IDE (Integrated Development Environment), giúp các nhà phát triển công cụ dễ dàng hơn. IBM Rational AppScan là một công cụ quét tự động đƣợc dùng để thực thi việc xác định các cách tấn công có thể có vào các ứng dụng web. AppScan quét qua các ứng dụng web, tìm ra các vần đề về bảo mật, làm các báo cáo về các vấn đề này và đƣa ra các hành động gợi ý sữa chữa.

Công cụ & giải pháp Appscan cung cấp:

-Chi tiết hóa các lời khuyên về bảo mật và đề nghị sữa chữa cho các nhà phát triển ứng dụng.

-Báo cáo bao quát các vần đề theo qui chế/định chế bảo mật của cơ quan/tổ chức -Ghi lại các khuyết điểm của ứng dụng vào hệ thống kiểm soát.

-Giám sát lỗi làm gia tăng khả năng nhìn thấy và quản trị đƣợc tính bảo mật xuyên suốt ứng dụng.

-Chạy các kiểm thử bảo mật ứng dụng web nhƣ một phần các kịch bản kiểm thử hồi qui.

Rational AppScan của IBM là một bộ sản phẩm bảo mật hàng đầu trên thị trƣờng dành cho việc kiểm tra khiếm khuyết ứng dụng Web. Sử dụng Rational AppScan có thể giúp bạn đảm bảo rằng bất kỳ ứng dụng Web đƣợc phát triển đều đủ an toàn để đƣa lên Internet. Rational AppScan là một công cụ quét mạnh và có thể tùy chỉnh đƣợc, và không chỉ đƣợc sử dụng trong quy trình kiểm tra và phát triển mà còn thƣờng xuyên đƣợc sử dụng bởi các kiểm toán viên bảo mật và nhân viên hợp cách để kiểm tra sự thâm nhập, và thậm chí cả các đội bảo đảm chất lƣợng và quản trị kinh doanh.

Chức năng chính của Rational AppScan là quét và kiểm tra các khiếm khuyết ứng dụng Web, và nó có thể tiến hành hàng ngàn kiểm tra tính bảo mật khiếm khuyết chẳng hạn nhƣ SQL Injection, Cross-Site Scripting (XSS) và Buffer Overflow. Các lần kiểm tra bảo mật trong Rational AppScan cũng đƣợc cập nhật thƣờng xuyên; các lần kiểm tra mới và các lần cập nhật kiểm tra đƣợc thêm vào danh mục kiểm tra Rational AppScan khi phát hiện ra các khiếm khuyết ứng dụng mới.

Cấp quyền sử dụng và các báo cáo của AppScan

Rational AppScan có chức năng báo cáo toàn diện đƣợc cài đặt sẵn, cho phép các kết quả quét đƣợc sao chụp lại thành cấu trúc báo cáo đã định dạng trong trong một tệp Adobe PDF. Các báo cáo này có thể tùy chỉnh hoàn toàn trong Rational AppScan. Rational AppScan đi cùng với vô số định dạng báo cáo đƣợc xác định phù hợp với phần lớn các tiêu chuẩn hợp pháp quốc tế.

Trƣớc khi mua Rational AppScan, nên dành một chút thời gian để xem xem bạn định triển khai và sử dụng Rational AppScan trong môi trƣờng của bạn nhƣ thế nào. Hơn nữa cũng cần phải hiểu rõ hệ thống cấp quyền sử dụng Rational AppScan, và hai phƣơng pháp triển khai Rational AppScan điển hình. Cấp quyền sử dụng Rational AppScan hoạt động trên cơ sở "trên mỗi máy đƣợc cài" trái ngƣợc với cơ sở "trên từng ngƣời dùng" do vậy mà AppScan đƣợc cài và đƣợc gắn cho hệ thống cụ thể nhƣng hệ thống này có thể đƣợc nhiều ngƣời dùng sử dụng. Cấp quyền ứng dụng trói buộc ứng dụng Rational AppScan vào địa chỉ MAC của hệ thống chủ (phần cứng mạng) và số serie đĩa cứng. Do đó trƣớc khi triển khai Rational AppScan hãy dành một chút thời gian xem xét và quyết định chiến lƣợc cài đặt tốt nhất

Mục lục