IBM Rational AppScan Developer 7.8內建動態測試引擎，可比對黑/白箱測試結果

相較於同性質產品，IBM Rational AppScan Developer比較特別的功能，在於包含簡易的黑箱測試功能，在檢測程式碼的同時，也可以搭配Standard版的黑箱手法驗證安全性。

它是架構在Eclipse平臺上的工具，目前只支援Java。對Java發者而言，在開發告一段落時，可以直接於Eclipse中執行Rational AppScan Developer的安全性掃描功能，使用上並不困難。

AppScan是Rational產品線中針對程式碼品質的一環，所以有別於其他產品可能內建關於品質方面的檢測，AppScan的做法搭配Rational Software Analyzer處理品質檢測的部分。

至於審查機制，AppScan Developer可針對掃描結果進行複查，並設定弱點的狀態為雜訊、非漏洞，或再測試等 ，但是如果要派送問題單，並有完整的瑕疵追蹤流程，則需結合Rational ClearQuest。

能夠串連資訊傳遞流程，進而收斂弱點數量

針對程式碼的安全性弱點，Developer版會收斂相關的問題，以SQL Injection為例，若在資訊傳遞的每一關都列為一個弱點，漏洞數量會很驚人，AppScan與阿碼科技的作法相似，把資料流串起來，統整成一個問題，不使弱點問題變得發散。

此外系統也提供全中文化的問題解釋及範例程式，事實上，Standard版與Developer版共用相同的說明內容，提供J2EE、ASP.NET及PHP的範例程式，而其他程式語言，系統提供通則性的說明，依循系統建議，需以各自的語言實作。

至於弱點的分類方式，Rational AppScan依據美國共通弱點評估系統（Common Vulnerability Scoring System，CVSS）的風險分級方式，分為高、中、低和資訊類等4種，其中資訊類的弱點，表示目前無法斷定是否會造成問題，所以風險程度最低，不過若條件成熟，有可能變成漏洞。

結合Standard版的引擎， 提供精簡的黑箱測試手法

比較特別的是，Rational AppScan Developer能以黑箱測試的手法驗證指定功能的安全性，因為它內建Standard版的引擎，使用者在進行靜態程式碼掃描前，勾選「Web應用程式掃描」，就可以搭配「手動探索」功能檢測。

與Standard版相較，Developer版的「手動探索」只能驗證局部的功能。開發者必須錄製操作網頁的過程，系統會記錄使用者曾經點選過的頁面。然後，啟動掃描機制時，AppScan Developer便會同步使用黑／白箱測試手法，驗證Web應用程式的安全性。如需自動化的動態掃描機制，需搭配Standard版的產品。

動態測試若發現安全性漏洞，AppScan會擷取測試相關資訊及操作過程中的畫面，提供開發者了解系統運用的黑箱手法，以及造成的結果，也會提供修正建議。

開發者若使用「手動探索」，可以點選「顯示相關問題」功能，它會關聯動態與靜態分析的結果。針對兩者抓到的相同問題，系統將進一步彙整測試的結果，提供開發者參考，可以深入地了解問題發生的原因，然後對照問題程式碼並修復安全性弱點。

除此之外，開發者若在設定中勾選執行期分析「Runtime Analysis」，檢測結束後，系統會關聯黑／白箱手法的測試結果，以UML的循序圖展示程式執行的流程，並標示出局部調整應該修改的部分，幫助開發者分析問題的成因及解決辦法。

未來將支援.NET程式語言

事實上，IBM對於Rational AppScan Developer的定位，是幫助開發者更直覺地發現並修正安全性問題的輔助工具，所以不強調報表、趨勢分析等管理性功能，也沒有Web化的介面。至於檢測規則的更新機制，是不定期地以Service Pack的方式更新。

IBM持續強化Rational AppScan Developer版的功能，預計未來會支援.NET程式語言。此外，也會強化對JSF、Hibernate等Java框架的支援度，以避免檢測過程中有盲點。

特色1：內建黑箱測試引擎

系統內建Standard版的引擎，開發者可以針對異動過的功能，錄製功能操作腳本，透過黑箱測試手法，檢測是否有安全性漏洞。

特色2：UML循序圖關聯黑／白箱測試結果

如果勾選執行期分析功能，系統會產出UML的循序圖，並關聯黑／白手法的檢測結果，幫助開發者了解程式流程。

特色3：白箱測試漏洞分析

測試結果出爐後，開發者點選各弱點問題，系統會帶出有安全性弱點的程式碼，並提供修復建議。

特色4：黑箱測試漏洞分析

透過黑箱手法測試的結果，系統會顯示測試的駭客手法，及該網頁的執行結果，並解釋弱點成因，也提供修復建議。

產品評析

優點：

包含黑箱測試手法，可填補白箱的盲點

可以比對黑／白箱測試手法找到的問題

對於Rational用戶而言，可簡單搭配系列產品使用

缺點：

目前只支援Java

無法對照不同次檢驗的結果

產品資訊

IBM Rational AppScan Developer 7.8

●　建議售價：25萬元／臺（單機版授權）

●　原廠：IBM

●　電話：0800-016-888

●　網址：www.ibm.com/tw/zh/

●　整合的開發工具

Eclipse

●　支援的程式語言

Java、JSP、JavaScript

●　安裝的系統平臺

Windows

●　安全性規則

以Services Pack的型式更新安全性規則、可自定安全性規則

●　操作介面

整合IDE掃描的結果，弱點可依嚴重性等級分類，並對弱點提供問題解釋、修正建議及報表功能。而內建的審查機制，可設定弱點為雜訊、非漏洞或再測試等狀態，若要派送問題單，需與Rational ClearQuest整合。

【註：規格與價格由廠商提供，因時有異動，正確資訊請洽廠商。】

【相關報導請參考「靜態程式碼安全性檢測採購大特輯」