IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 2 部分：企业级 Web 应用安全解决方案实例

核心提示： Christine 完成了任务后，想对刚修复的安全漏洞进行验证，IBM Rational AppScan Enterprise Edition 护驾企业 Web 应用安全，第 2 部分：企业级 Web 应用安全解决方案实例(4)，这就用到了 ASE 中强大的“QuickScan&rd

Christine 完成了任务后，想对刚修复的安全漏洞进行验证，这就用到了 ASE 中强大的“QuickScan”功能。QuickScan 可以让开发人员方便快速的启动扫描任务，而不需要对应用的整体细节（包括如何部署等）做过多的了解。这是通过应用管理员事先定制模板实现的。该模板限制了谁可以扫描哪些应用或应用的哪些模块，使用什么样的测试策略，同时也定义了扫描的 URL，如何登录系统等。如图 6 所示，点击 ASE 界面中右上角的“QuickScan”按钮，进入 Christine 的扫描列表。可以新建扫描或者使用现有的扫描。扫描会根据模板在后台执行，结束后自动生成报告。

图 6 ASE 中方便易用的 QuickScan 功能

　　图片看不清楚？请点击这里查看原图（大图）。

至此，作为开发人员，Christine 已经完成了从接受任务、根据系统建议修复任务、管理任务状态到再次验证漏洞的整个过程，所有这些动作，都是通过 ASE 统一的 Web 界面实现的。

安全管理员 Administrator 的一天

通常 ASE 软硬件的部署、系统权限的设置、扫描任务的定义、不同角色扫描模板的配置，都是由安全管理员完成的。安全管理员登录到 ASE 中，可以看到企业的完整应用架构。如图 7，Administrator 看到的内容比 Christine 要丰富很多。在这里左上部的“Folders”视图则是管理员按照一定的逻辑对企业应用的划分，如按照业务部门、按照产品线、按照应用进行划分。划分之后，就可以进行权限的分配。