首頁 > 新聞資訊 OpenTextTM Fortify WebInspect 是業界知名的動態應用安全測試(DAST)工具,可識別已部署的 Web 應用及服務中的應用漏洞。
這一自動化 DAST 解決方案為客戶提供全面的漏洞檢測功能,并能幫助安全專家和 QA 測試人員快速識別安全漏洞和配置問題。它針對運行中的應用模擬真實的外部安全攻擊,以發現問題并作用于根源分析。WebInspect 擁有超多?REST API 以加速整合,還可以提供直觀、靈活的 UI 管理及百分百的自動化功能。此外,它擁有一個單一、集中式的認證定義,無論涉及靜態、動態還是從宏中提取令牌(token)。
01 產品特色
功能性應用安全測試(FAST)
不被 IAST 所限制,FAST 是突圍口。FAST 可以執行全部的功能測試,并以 IAST 的方式開展這些測試,完成后也可以保持運行。即便功能測試疏忽了,FAST 也不會錯過。
黑客級洞察力
支持查看客戶端框架和版本號等——這些如果不更新將成為漏洞。
工作流宏的 HAR 文件
WebInspect 可以使用 HAR 文件進行工作流掃描,確保掃描覆蓋全部重要內容。
企業應用安全風險管理
監控應用內部趨勢,首先針對最關鍵的漏洞優先采取行動以滿足 DevOps 需求。
靈活部署
通過靈活的內部部署、SaaS 或“應用安全即服務”,快速啟動應用并根據需求擴展。
合規管理
針對所有與 Web 應用安全相關的主要合規法規,預先內置策略及報告,包括 PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPAA。
橫向擴展加速掃描
橫向擴展 Kubernetes 以創建微型的 WebInspect,它只專注于處理 JavaScript,使掃描可以并行加速。
掃描任何 API 以提高準確度
獲取 API 的完整信息,包括 SOAP、Rest、Swagger、OpenAPI、Postman、GraphQL 與?gRPC。
客戶端軟件構成(SCA)
SCA 提供客戶端庫的 CVE、開源項目的健康數據以及可導出的 CycloneDX SBOM。
02 產品亮點
自動化與集成
Fortify WebInspect 可以作為完全自動化的解決方案運行,以滿足 DevOps 和靈活擴展的需要,并與 SDLC 集成,而無需支付額外費用。
- REST API 有助于促進無縫集成,以及確保自動掃描和檢查符合合規要求;
- 可利用 OpenTextTM 應用生命周期管理(ALM)和?OpenTextTM 質量中心(Quality Center)以及其他安全測試和管理系統預先構建的集成;
- 強大的集成支持團隊復用歷史腳本和工具,別忘了 WebInspect 可以輕松與所有 Selenium 腳本集成;
- 提供 RESTful Web 服務掃描:通過 WISwag 命令行工具支持 Swagger 和 OData 格式,使 Fortify WebInspect 能融入任意的?DevOps 管道;
- 強大的基礎設置:ScanCentral 管理員可預先配置掃描模板,幫助用戶掃描其應用——而且不需要任何專業的安全知識。
03 產品優勢
更快、更早地發現漏洞
Fortify WebInspect 可以隨時調整優化您的應用,以便在全生命周期(SDLC)中更快、更早地發現漏洞。它利用代理技術增強掃描效果,擴大對攻擊面的覆蓋范圍,可檢測更多的漏洞類型。
- Fortify WebInspect Agent 整合了動態測試和運行時分析,以增強您的發現,擴大攻擊面的覆蓋范圍。它可以抓取更多應用以識別漏洞,相比單獨的動態測試能更好地讓漏洞暴露。
Fortify WebInspect?利用先進技術確定優先次序:
- 支持運行已被策略調整器改造為高速的自定義策略;
- 支持同時抓取和審計;
- 數據去重:避免在應用的不同部分掃描同一類別/功能,減少威脅噪音;
- 如果客服判斷特定應用可以自行處理威脅,則避免向特定的檢查類型發送更多指令來減少攻擊數。該信息將被加載至 OpenTextTM Fortify Software Security Center (SSC) 并與 OpenTextTM Fortify Static Code Analyzer 掃描結果配合使用;
- 檢測冗余頁面以減少掃描時間;
- 為開發人員提供代碼行細節以及返回的堆棧跟蹤信息,加速修復漏洞;
- 即使在雙因素認證(2FA)環境中 WebInspect 也會持續掃描。
利用自動化和代理節省時間
- 通過檢測冗余頁面、生成自動宏、增量掃描和容器化交付等功能節省時間和資源;
- 優化掃描過程,提升速度及準確性。
抓取現代框架和網絡技術
Fortify WebInspect 支持抓取現代框架和網絡技術,以涵蓋所有漏洞類別并進行全面審計:
- 支持最新網絡技術,包括 HTML5、JSON、AJAX、JavaScript、HTTP2 等;
- 測試“帶外”漏洞或 OAST 上出現的新漏洞。基于公共 Fortify OAST 服務器,WebInspect 可以檢測 OAST 漏洞如 Log4Shell;
- 提供 Single Page Application(SPA)檢測,支持常見框架如 Angular、AngularJS、React、GWT、Vue、Dojo 和? Backbone;
- 測試針對移動端優化的網站及調用本地網絡服務;
- 提供自動宏生成、宏驗證和修復驗證等功能,讓小型團隊也能大規模地檢測和修復漏洞;
- 運行 Linux 版本的 WebInspect 和 ScanCentral DAST,簡化與 AWS 、Azure 以及私有 Kubernetes 集群的云優先部署。
用 ScanCentral DAST 掌握全企業的應用安全風險(AppSec)
通過 ScanCentral DAST 報告管理跨越整個企業的安全風險,以加速補救漏洞、提效監督管理。監測趨勢并針對應用的漏洞采取行動。建立企業范圍內的 AppSec 計劃,通過儀表盤和報告來管理和提供風險狀況的透明度,您可以據此確定具體的補救措施,跟蹤后續指標、趨勢和進度。ScanCentral DAST 可以作為協調平臺來運行數十萬次掃描,讓小型的 AppSec 團隊有能力來管理整個組織。
- SCDast 可視化:在 SCDast 中查看和分流 DAST 漏洞;
- 用戶和域限制:對 DAST 用戶的集中管理非常復雜。用戶和域的限制,允許管理員在用 ScanCentral DAST 自我服務模式時制定規則以確保掃描的質量;
- MS SQL 是一個昂貴的數據庫選項,所以在 PostGresSQL 安裝 ScanCentral DAST 時提供了另一種選擇,而無需犧牲速度和質量;
- ScanCentral DAST 與 Kubernetes 集成用于擴展傳感器,既能節省成本,又能確保每一次掃描都預留有足夠的空間;
- ScanCentral DAST 憑證管理:節省時間并統一更新所有密碼。
- ScanCentral DAST repo 集成:運行時從存儲庫中提取掃描配置工件,無需手動更新配置。
(文章來源公眾號:MicroFocus)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
關于億道電子
上海億道電子技術有限公司是國內資深的研發工具軟件提供商,公司成立于2009年,面向中國廣大的制造業客戶提供研發、設計、管理過程中使用的各種軟件開發工具,致力于幫助客戶提高研發管理效率、縮短產品設計周期,提升產品可靠性。
十多年來,先后與ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立戰略合作伙伴關系,并作為他們在中國區的主要分銷合作伙伴服務了數千家中國本土客戶,為客戶提供從芯片級開發工具、EDA設計工具、軟件編譯以及測試工具、結構設計工具、仿真工具、電氣設計工具、以及嵌入式GUI工具等等。億道電子憑借多年的經驗積累,真正的幫助客戶實現了讓研發更簡單、更可靠、更高效的目標。
歡迎關注“億道電子”公眾號
了解更多研發工具軟件知識
