Web應用程式安全漏洞分析工具－Compuware DevPartner SecurityChecker

Compuware於2005年推出DevPartner SecurityChecker，針對ASP.NET程式提供安全漏洞分析工具。SecurityChecker整合於Visual Studio整合開發環境中，目前已支援到Visual Studio 2005版。提供ASP.NET及ASP.NET 2.0程式在開發、測試及上線之前三階段的程式安全性漏洞分析，避免因為開發者錯誤的程式寫法，而造成駭客入侵Web應用程式的機會。

三階段的安全漏洞分析
SecurityChecker整合在Visual Studio開發環境，系統開發階段，在ASP.NET程式編譯過，確認無邏輯上的錯誤後，即可利用SecurityChecker「編譯期分析」功能，地毯式掃瞄原始程式碼或已編譯為MSIL（Microsoft Intermediate Language）的中介碼，抓出明顯的錯誤寫法。系統測試階段，搭配「執行期分析」，可選擇手動設定測試的路徑，或由SecurityChecker自動分析所有的網頁路徑，列出網站完整的網頁串連架構，並顯示所有可能的安全漏洞。

最後在應用程式上線前，執行動態的「完整性分析」，實際模擬駭客的攻擊行為，使用者同樣可以選擇手動設定，SecurityChecker將記錄使用者瀏覽及依正常行為操作過的網頁，在關閉瀏覽器後，開始模擬駭客的各式攻擊行為，然後產出分析報表。

直指有安全疑慮的程式，並提供修改範例
SecurityChecker以圖形化的報表，顯示應用程式安全性漏洞分析結果，依關鍵、重要、適中及一般訊息等四個安全層級，分類顯示各層級安全性漏洞的數量。

使用者依影響性檢視各層級的安全性漏洞，再依漏洞類型點選程式碼位置，SecurityChecker直接開啟網頁帶出問題程式碼，說明錯誤原因及解決的範例程式碼，開發人員只要依建議修改程式，有些甚至直接置換成範例程式即可。

大型網站的分析相當耗時，開發人員可設定批次作業，以Windows作業系統本身提供的「工作排程」功能，選擇利用下班後的時間，呼叫SecurityChecker執行網站的安全性漏洞分析。SecurityChecker產生的報表，儲存於Visual Studio的.NET專案中，開發人員上班後調閱報表，即可善用工作時間解決問題。

駭客攻擊網站的手法不斷推陳出新，所以安全漏洞分析工具必須像掃毒程式一般，有更新病毒碼的需要。目前SecurityChecker內有392條安全性守則（Rule），一年更新兩次，購買SecurityChecker享有一年保固，未來只要續簽保固合約，即可免費下載更新守則，以確保防堵日益翻新的駭客行為。文⊙李延華