相較於同性質產品,IBM Rational AppScan Developer比較特別的功能,在於包含簡易的黑箱測試功能,在檢測程式碼的同時,也可以搭配Standard版的黑箱手法驗證安全性。

它是架構在Eclipse平臺上的工具,目前只支援Java。對Java發者而言,在開發告一段落時,可以直接於Eclipse中執行Rational AppScan Developer的安全性掃描功能,使用上並不困難。

AppScan是Rational產品線中針對程式碼品質的一環,所以有別於其他產品可能內建關於品質方面的檢測,AppScan的做法搭配Rational Software Analyzer處理品質檢測的部分。

至於審查機制,AppScan Developer可針對掃描結果進行複查,並設定弱點的狀態為雜訊、非漏洞,或再測試等 ,但是如果要派送問題單,並有完整的瑕疵追蹤流程,則需結合Rational ClearQuest。

能夠串連資訊傳遞流程,進而收斂弱點數量

針對程式碼的安全性弱點,Developer版會收斂相關的問題,以SQL Injection為例,若在資訊傳遞的每一關都列為一個弱點,漏洞數量會很驚人,AppScan與阿碼科技的作法相似,把資料流串起來,統整成一個問題,不使弱點問題變得發散。

此外系統也提供全中文化的問題解釋及範例程式,事實上,Standard版與Developer版共用相同的說明內容,提供J2EE、ASP.NET及PHP的範例程式,而其他程式語言,系統提供通則性的說明,依循系統建議,需以各自的語言實作。

至於弱點的分類方式,Rational AppScan依據美國共通弱點評估系統(Common Vulnerability Scoring System,CVSS)的風險分級方式,分為高、中、低和資訊類等4種,其中資訊類的弱點,表示目前無法斷定是否會造成問題,所以風險程度最低,不過若條件成熟,有可能變成漏洞。

結合Standard版的引擎, 提供精簡的黑箱測試手法

比較特別的是,Rational AppScan Developer能以黑箱測試的手法驗證指定功能的安全性,因為它內建Standard版的引擎,使用者在進行靜態程式碼掃描前,勾選「Web應用程式掃描」,就可以搭配「手動探索」功能檢測。

與Standard版相較,Developer版的「手動探索」只能驗證局部的功能。開發者必須錄製操作網頁的過程,系統會記錄使用者曾經點選過的頁面。然後,啟動掃描機制時,AppScan Developer便會同步使用黑/白箱測試手法,驗證Web應用程式的安全性。如需自動化的動態掃描機制,需搭配Standard版的產品。

動態測試若發現安全性漏洞,AppScan會擷取測試相關資訊及操作過程中的畫面,提供開發者了解系統運用的黑箱手法,以及造成的結果,也會提供修正建議。

開發者若使用「手動探索」,可以點選「顯示相關問題」功能,它會關聯動態與靜態分析的結果。針對兩者抓到的相同問題,系統將進一步彙整測試的結果,提供開發者參考,可以深入地了解問題發生的原因,然後對照問題程式碼並修復安全性弱點。

除此之外,開發者若在設定中勾選執行期分析「Runtime Analysis」,檢測結束後,系統會關聯黑/白箱手法的測試結果,以UML的循序圖展示程式執行的流程,並標示出局部調整應該修改的部分,幫助開發者分析問題的成因及解決辦法。

未來將支援.NET程式語言

事實上,IBM對於Rational AppScan Developer的定位,是幫助開發者更直覺地發現並修正安全性問題的輔助工具,所以不強調報表、趨勢分析等管理性功能,也沒有Web化的介面。至於檢測規則的更新機制,是不定期地以Service Pack的方式更新。

IBM持續強化Rational AppScan Developer版的功能,預計未來會支援.NET程式語言。此外,也會強化對JSF、Hibernate等Java框架的支援度,以避免檢測過程中有盲點。

 

           

特色1:內建黑箱測試引擎

系統內建Standard版的引擎,開發者可以針對異動過的功能,錄製功能操作腳本,透過黑箱測試手法,檢測是否有安全性漏洞。

 

特色2:UML循序圖關聯黑/白箱測試結果

如果勾選執行期分析功能,系統會產出UML的循序圖,並關聯黑/白手法的檢測結果,幫助開發者了解程式流程。

 

特色3:白箱測試漏洞分析

測試結果出爐後,開發者點選各弱點問題,系統會帶出有安全性弱點的程式碼,並提供修復建議。

 

特色4:黑箱測試漏洞分析

透過黑箱手法測試的結果,系統會顯示測試的駭客手法,及該網頁的執行結果,並解釋弱點成因,也提供修復建議。

 

產品評析

優點:

包含黑箱測試手法,可填補白箱的盲點

可以比對黑/白箱測試手法找到的問題

對於Rational用戶而言,可簡單搭配系列產品使用

缺點:

目前只支援Java

無法對照不同次檢驗的結果

 

產品資訊

IBM Rational AppScan Developer 7.8

● 建議售價:25萬元/臺(單機版授權)

● 原廠:IBM

● 電話:0800-016-888

● 網址:www.ibm.com/tw/zh/

● 整合的開發工具

Eclipse

● 支援的程式語言

Java、JSP、JavaScript

● 安裝的系統平臺

Windows

● 安全性規則

以Services Pack的型式更新安全性規則、可自定安全性規則

● 操作介面

整合IDE掃描的結果,弱點可依嚴重性等級分類,並對弱點提供問題解釋、修正建議及報表功能。而內建的審查機制,可設定弱點為雜訊、非漏洞或再測試等狀態,若要派送問題單,需與Rational ClearQuest整合。

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

【相關報導請參考「靜態程式碼安全性檢測採購大特輯

熱門新聞

Advertisement