IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点

核心提示： 广泛的人员参与度：ASE 通过统一的 Web 界面，可以让尽可能多的角色参与到应用安全管理中来，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 1 部分：企业级 Web 应用安全解决方案介绍及其特点(9)，如图 6 所示，图 6 A

广泛的人员参与度：ASE 通过统一的 Web 界面，可以让尽可能多的角色参与到应用安全管理中来，如图 6 所示。

图 6 ASE 具有广泛的人员参与

ASE 的最新版本中，包含了集成的在线培训模块。在该培训中，用户不但可以学习 ASE 的使用方法和相关产品知识，还可以了解 Web 应用的安全常识、多种著名漏洞的攻击原理、各种漏洞的详细说明等，大大方便了企业将安全意识贯彻到各个角色的日常工作中。

ASE 中还包含了一个快速的测试工具 QuickScan。QuickScan 是一个简化的扫描方法，它将忙碌的开发人员从复杂的应用安全中解脱出来。由于经过管理员事先定义扫描模板，开发人员不需要在客户端进行安装或做任何配置，就可以直接使用。扫描结果组织成任务列表形式，开发人员不需要成为安全专家，只需要根据任务列表去相应的代码处进行修改即可。

2. 提供丰富报告的应用安全平台

在 3.2.1 章节中，我们描绘了 ASE 中的数据流，也引出了报告、报告包、仪表板等概念。ASE 中提供了 7 种类型的报告，每种类型又可以细分为多种子类型，涵盖了应用安全所涉及的方方面面，在这里我们简述部分重要的报告。

安全报告

应用安全报告：列出了在扫描中发现的所有应用安全隐患，包括隐患的数量、类型、存在隐患的具体链接等，该报告以 3.2.1 章节中扫描范围提到的 WASC Threat Classification 分类组织。图 7 为 Web 站点安全报告示例，所有安全问题按照严重等级分类，选择报告中的具体类型，可以得到更为详细的信息，如图 8 所示。