web应用安全测试IBM APPscan

IBM APPscan是一款由IBM打造的web应用安全测试工具，这款软件可以帮助开发者进行应用的安全漏洞评估工作，帮助组织缓解应用安全风险、增强应用安全计划并实现合规。安全和开发团队能够在整个应用生命周期中协作、制定策略并扩展测试。

软件介绍：

IBM AppScan该产品是一个领先的 Web 应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界。Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。
个人认为appscan扫描太慢，不如WVS扫描快，可配合使用

功能特色：

可扩展的应用安全测试

可扩展的企业架构能支持多个应用安全测试人员。AppScan Enterprise 提供用于测试 Web、非 Web 以及移动应用的方法，包括动态、静态和交互性分析。它可以基于 IBM X-Force 数据库，对网站进行扫描，寻找恶意网站链接，结合动态和静态的分析技术，识别客户端 JavaScript 中的漏洞。它还可以汇总动态和静态分析，提供增强的报告功能。

测试策略、扫描模板和提供建议

AppScan Enterprise 支持策略定义和扫描模板以监管应用安全测试。它可以提供漏洞建议、修复建议和内置培训视频，对开发团队进行培训。AppScan Enterprise 通过新的高级应用扫描和修复功能、企业应用安全状态指标、关键法规合规性报告以及与 IBM Security AppScan Standard 的无缝集成，提供集中控制。

详细的安全性报告和企业级仪表板

AppScan Enterprise 帮助按照业务影响对应用资产进行分类和优先排序，确定高风险区域。您可以清晰了解由已确定的漏洞导致的安全性和合规性风险，并通过绩效指标显示进度。

基于风险的应用安全管理

借助 AppScan Enterprise 9.0 或更高版本，组织可以根据自己的策略对风险进行定义。衡量应用上的风险可能取决于多个因素，例如访问、业务影响或安全威胁的重要性等。这些因素可以进行定制并编入 AppScan Enterprise 的计算。管理员可以定义风险衡量规则，然后根据风险级别对应用进行自动分类或排序，帮助他们利用更少资源做出可靠决策。