IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 2 部分：企业级 Web 应用安全解决方案实例

前言

我们将从企业中不同的角色，如开发人员、安全管理员、部门经理的角度出发，详细描述在部署了 IBM Rational ASE 企业级 Web 应用安全平台之后，每个角色的日常工作是如何开展的，该平台又为他们提供了怎样的方便性和统一性。

开发人员 Christine 的一天

开发人员 Christine 和往常一样，一天的工作从打开 Outlook，收取邮件开始。ASE 有邮件通知功能，当 Christine 关心的某个应用扫描结束，或者某个事先定义的阀值达到后，系统会自动发送邮件，通知她系统发现了哪些安全隐患。此时 Christine 可以直接点击邮件提示的安全隐患，登录系统。如图 1。

图 1 开发人员 Christine 接收 ASE 发来的邮件

通过邮件，Christine 打开了如图 2 的页面。左上部的“Folders”视图，显示了 Christine 有权查看的应用或者系统模块，该权限是由管理员事先设定的。左下部的“Recently Viewed”视图，体现了 Christine 最近访问过的报告或者仪表板。右侧的“Remediation Tasks”视图，则列举了该模块或应用所有需要修复的任务。

需要注意的是，修复任务和发现的隐患是不同的概念，它是完全站在开发人员的角度看待问题的。如图 2 的方框说明，21 个修复任务解决了在 25 个 URL 中发现的 62 个安全隐患。因此，使用修复任务视图，开发人员可以不用去关注具体的安全漏洞，也就是说，开发人员可以不用是 Web 安全专家，他只需要根据修复任务中的提示，改正相应代码即可。

图 2 ASE 中开发人员“修复任务”视图