在***中实施基于风险的应用程序安全管理基于风险的应用程序安全管理
在一个拥有数千个应用程序和一个小型安全团队的大型***中, 需要一个战略应用安全管理系统来维护企业级的安全。AppScan 企业9.0 提供了一种基于风险的方法来有效地解决这一需求。然而, 不能严格地确定和规划一个能够适当对应于每个***的战略的单一风险衡量标准。使用 IBM AppScan 企业 9.0, ***可以根据自己的策略定义风险。
风险度量可以通过访问、业务影响、安全威胁的重要性等因素在应用程序上确定。所有这些因素都可以在 AppScan 企业的计算中进行定制和编程。通过这种灵活性, 管理人员可以定义规则来度量风险, 然后根据风险自动对应用程序进行分类或分级, 以帮助他们做出可靠和资源效率高的决策。
创建应用程序安全清单
若要生成应用程序的清单, 可以通过一个一个地指ding它们的属性, 或者通过以. csv 格式导入文件来将应用程序添加到系统中。结果是一个应用程序列表, 可以很容易地过滤, 以搜索特定的标准 (图 1)。为了帮助分析大量的应用程序,appscan, 还提供了可视化的数据摘要 (图 2)。
图像 1: 具有筛选和排序能力的应用程序清单 *
图 1: 具有筛选和排序能力的应用程序的清单
图像 2: 交互式可视化摘要的重要性质的应用。
图 2: 交互式可视化摘要的重要性质的应用。
IBM Rational AppScan
AppScan 源
系统要求
以下是 IBM 安全 AppScan 源的9.0.1 发布的基本硬件和软件要求。
操作系统
微软视窗8***和企业32和64位 (在32位模式)
微软视窗8.1 ***和企业32和64位 (在32位模式)
微软视窗7***, 企业和终的极32和64位 (在32位模式)
微软视窗服务器2008企业和标准 (SP1 和 SP2) (32 位 x86)
微软视窗服务器 2008 R2 企业和标准64位 (在32位模式)
微软视窗服务器2012数据中心, 标准,appscan核心代理, 要点和基础 (在32位模式)
微软视窗服务器 2012 R2 数据中心,appscan在线咨询, 标准和概要 (在32位模式)
RedHat 企业 Linux 5.0 (通过更新 8), 6.0 (通过更新 4) 工作站和服务器32和64位 (以32位模式)
os x 版本 10.8, os x 版本10.9 和 os x 版本 10.10 (ibm 安全 AppScan 源为安全, ibm 安全 AppScan 源为开发 (Eclipse 插件) 和 ibm 安全 AppScan 源仅用于自动化)
软件
编译器: 用于 Linux 的 GNU 编译程序集 (gcc), 用于 windows 的 visual studio 2010 (V10), 用于 windows 的 visual studio 2012 (V11), 用于 windows 的 visual studio 2013 (V12), Xcode 版本4.6、5.0、5.1、6.0 和6.1 用于目标 C (仅适用于苹果 iOS 应用程序)、j***a V1.5 和更高的 j***a EE 应用服务器: 碧玉 V2 (Tomcat V5、V6 和 V7)、Or***e Weblogic 服务器 V8、V9、V11 和 V12, IBM WebSphere 应用服务器 (V6.1、V7、V8 和 V8.5)
用于安全测试的语言支持 (Windows): j***a ?、Android、J***aScript、JSP、ColdFusion、c、c 、. NET (c#、ASP.NET 和 VB.NET)、经典 ASP (J***aScript/VBScript)、PHP (4.x 到 5.3), perl、Visual Basic 6、pl/sql、t-sql 和用于安全测试的 COBOL 语言支持 (Linux): j***a ?、Android、J***aScript、JSP、ColdFusion、c、c 、PHP (4.x 到 5.3)、perl、pl/sql、t-sql 和 COBOL
安全测试的语言支持 (OS X): Xcode 项目中的目标 C, J***a, Android, J***aScript, JSP
IDE 插件和项目文件扫描支持 (Windows): Eclipse 版本3.6、3.7、3.8、4.2、4.2.x、4.3、4.3.1、4.3.2 和 4.4;IBM Rational 应用程序开发人员 (RAD) V8.0、V8.5、V8.5.1、V8.5.5、V9.0、V9.0.1 和 V9.1;visual studio 2010 (***、***和终的极)、visual studio 2012 (***、***和终的极) 和 visual studio 2013 (***、***和终的极);Visual Studio 支持 c 、c#、ASP.NET 和 VB.NET;Eclipse 和 RAD 支持扫描 J***a (包括 Android)、J***aServer 页面 (JSP) 和 IBM MobileFirst 平台项目
IDE 插件和项目文件扫描支持 (Linux): Eclipse 版本3.6、3.7、3.8、4.2、4.2.x、4.3、4.3.1、4.3.2 和 4.4;IBM Rational 应用程序开发人员 (RAD) V8.0、V8.5、V8.5.1、V8.5.5、V9.0、V9.0.1 和 V9.1;Eclipse 和 RAD 支持扫描 J***a (包括 Android)、J***aServer 页面 (JSP) 和 IBM MobileFirst 平台项目
IDE 插件和项目文件扫描支持 (OS X): Eclipse 版本3.6、3.7、3.8、4.2、4.2.x、4.3、4.3.1、4.3.2 和 4.4;IBM Rational 应用程序开发人员 (RAD) V9.0、V9.0.1 和 V9.1;Eclipse 和 RAD 支持扫描 J***a (包括 Android)、J***aServer 页面 (JSP) 和 IBM MobileFirst 平台项目
缺陷跟踪系统 (Windows 和 Linux): IBM Rational ClearQuest? V7.1.1、V7.1.2、V8.0 和 V8.0.1;HP 质量中心 V9.2、V10.0 和 V11.0;IBM Rational 团队音乐会 V3.0、V3.0.1、V4.0、V4.0.1、V4.0.2、V4.0.3、V4.0.4、V4.0.5、V4.0.6 和 V4.0.7;微软团队基础服务器2008和2010
缺陷跟踪系统 (OS X): 合理的团队音乐会 V3.0, V3.0.1, V4.0, V4.0.1, V4.0.2, V4.0.3, V4.0.4, V4.0.5, V4.0.6 和 V4.0。7
外部数据库支持: Or***e 11g (32 位)
许可证服务器: IBM Rational 许可证服务器版本8.1.1、8.1.2、8.1.3 和 8.1.4 (如果通过浮动许可证激的活)
翻译的***语言: 英语、巴西葡萄牙语、简体中文、繁体中文、德语、西班牙语、法语、意大利语、日语、俄语和韩语
硬件
处理器: 2 CPU
内存: 2 gb RAM ***的小值 (建议使用 8 gb 或更多)
磁盘空间: 3 gb (安装所需的 4 gb)
网络: 1 NIC 10 mbps, 用于配置 tcp/ip 的网络通信 (建议使用 100 mbps)
请随时联系电子旋转为您的查询和要求, 所以我们可以帮助您在包装的解决方案,appscan电话, 您可能需要您的操作或项目需要的确切要求。
有关 IBM 解决方案、产品和相关服务的概述, 请参阅相应的子部分。
IBM 的 AppScan 工具添加了 Adobe Flash, SOA 扫描讨论:
ibm rational AppScan 企业和 ibm rational AppScan 报告控制台 '导入功能' 中的高风险安全漏洞以及 ibm rational AppScan 标准和 ibm rational AppScan Express 的 '文件加载功能' 可能导致远程命令执行。
远程用户可以创建特zhi的 zip 文件, 当目标用户导入时, 将在目标系统 CVE-2011-1366 上执行任意代码。版本5.2 通过8.0.1 的 ibm rational AppScan 企业和 ibm rational AppScan 报告控制台受到影响。
远程用户可以创建特zhi的 '. 扫描' 文件, 当目标用户加载时, 将在目标系统 CVE-2011-1367 上执行任意代码。版本7.8 到8.0 的 ibm rational AppScan 标准和 ibm rational AppScan 快递受到影响。
设备本身不受影响。
影响:
在 ibm rational AppScan 企业或 ibm rational AppScan 报告控制台中导入 ZIP 文件的内容时, 在代理服务器计算机上运行导入作业时, 可能会执行远程命令。
解决:
供应商已发布了一个补丁: Rational AppScan 企业版修复包 1 (8.0.1.1) 用于8.0。1
版权所有©2024 产品网
