使用 Rational AppScan 保证 Web 应用的安全性，第 1 部分: Web 安全与 Rational AppScan 入门

核心提示： 图 5: 适于 Web 应用的质量模型要加强全员应用安全意识，就需要对每一个相关角色落实安全要求，使用 Rational AppScan 保证 Web 应用的安全性，第 1 部分: Web 安全与 Rational AppScan 入门(8)，1) 对于需求分析、设计人员而言，是否已将产品的安全

图 5: 适于 Web 应用的质量模型

要加强全员应用安全意识，就需要对每一个相关角色落实安全要求。

1) 对于需求分析、设计人员而言，是否已将产品的安全性考虑到产品的需求设计中，从而保证在项目初期，安全因素已被关注；

2) 对于开发人员，在应用中实现了身份认证等安全功能，并不意味着在编程中已考虑到了应用安全性，它们还必须掌握 Web 应用安全编程规范等技术；

3) 对于测试人员，验证了应用的 FURPS，不能保证产品已具备安全性，还需要借助其他工具或平台，对应用的安全隐患，进行自动化的扫描，得出全面的安全性报告；

4) 对于质量管理人员，产品的质量过关，也不等于产品已经安全可靠，他们和测试人员一样，需要借助工具，掌握 Web 应用全面的安全隐患汇总和分析。

使用先进的工具确保软件开发生命周期中的安全性

在企业全员都具有了应用安全意识之后，必须将该意识贯彻到项目的具体工作之中，除了要求每个人具备严谨认真、不断学习的态度之外，还需要借助先进的工具，对开发的 Web 应用进行自动化的安全隐患发现、分析、报告、提供修复意见等工作，建立人工检查和自动化工具配合的完整保障措施。IBM Rational AppScan，正是这样一种 Web 应用自动化诊断工具，下面我们对其进行简单的介绍。

Rational AppScan，是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具，它不但可以简化企业发现和修复 Web 应用安全隐患的过程（因为这些工作，以往都是由人工进行，成本相对较高，但是效率却非常低下），还可以根据发现的安全隐患，提出针对性的修复建议，并能形成多种符合法规、行业标准的报告，方便相关人员全面了解企业应用的安全状况。图 6 说明了 AppScan 在软件开发生命周期中的各个阶段，都可以协助安全隐患的诊断。