高效率创建安全的 Java 应用, 第 2 部分: 使用 Rational AppScan 最大化 Java Web 应用程序的安全性

核心提示： Rational AppScan 概述IBM 的 Rational AppScan 是一款针对 Web 应用程序缺陷测试的安全性套件，使用 Rational AppScan 能够帮助您确保任何被开发出来的 Web 应用程序可以被安全地放到因特网中，高效率创建安全的 Java 应用, 第 2 部分

Rational AppScan 概述

IBM 的 Rational AppScan 是一款针对 Web 应用程序缺陷测试的安全性套件。使用 Rational AppScan 能够帮助您确保任何被开发出来的 Web 应用程序可以被安全地放到因特网中。Rational AppScan 是一款功能强大而且可以定制的扫描工具，不仅被用于开发和测试过程，而且经常被用于渗透测试，甚至是质量保证团队和业务管理。

Rational AppScan 的首要功能就是扫描和测试 Web 应用程序的缺陷，它能够捕获到成千上万个安全问题，例如：SQL 注入、跨站点脚本（XSS）以及缓冲区溢出等。Rational AppScan 中的安全性测试还可以定期升级；新的测试和更新被添加到 Rational AppScan 的测试文件夹中，作为新被发现的 Web 应用程序缺陷。

Rational AppScan 的报告和许可

Rational AppScan 具有内嵌的报告功能，它可以将扫描结果以 Adobe PDF 文件的方式生成出来。这些报告在 Rational AppScan 中都是可以定制的。请您参见 下载部分查看本文中所生成的所有报告。Rational AppScan 自带了大量的预先定义的报告格式，它们能够满足绝大多数的国际标准和工业需求。其中包括：支付卡行业数据安全标准（PCI DSS）、SOX、HIPPA、OWASP Top Ten、WASC Threat Classification、ISO 17799/27001 以及 SANS Top Ten 等。

在购买 Rational AppScan 之前，您需要花一定的时间考虑您打算如何在环境中部署和使用 Rational AppScan。您应当对 Rational AppScan 的许可证许可系统和两种典型的部署方法有一个很好的理解。Rational AppScan 被安装和绑定在一台特定的机器上，但是这台机器（以及 AppScan）能够被多个用户使用。应用程序许可证将 Rational AppScan 同机器的 MAC 地址（网卡地址）和硬盘序列号绑定在一起。所以，在部署 Rational AppScan 之前，请您花时间考虑并且决定采用哪种安装策略是最佳的。