9月24日消息,IBM推出为开发人员量身定做的程序检测工具——AppScan开发者版,它通过整合一套开发流程来帮助程序员尽早发现漏洞所在。
IBM认为,开发人员是应用程序的根本,因此,确保程序质量的工作应该从他们开始。AppScan开发者版采用了去年被IBM收购的应用安全厂商Watchfire的技术。AppScan系列产品和许多其他检测工具一样,都是通过分析运行时间来确定应用程序有否存在漏洞,所不同的是,AppScan能在开发过程的早期就发现存在的隐患。
IBM相关负责人大卫格兰特表示,“开发人员一旦编写了存在缺陷的代码,等检测人员发现时就已经太晚了,因此而付出的代价会很高,所以,当务之急是要在安全的流程下进行开发。”其实,通过关注开发人员来解决程序缺陷,这个想法并不新颖,但现有的检测工具都是为程序检测人员设计的,而不是开发人员,新版AppScan可以与Rational 和Eclipse完美结合,能在开发环境下检查拼写的正确性,IBM眼下要做的就是把漏洞检测作为开发流程的一部份。格兰特指出,IBM是Eclipse的最大赞助商,因此,不只是IBM,任何基于Eclipse的开发环境,都可以与AppScan集成来测试代码。
去年11月,蓝色巨人最后一次更新AppScan产品,这次更新增加了产品能检测的漏洞种类,而新版的AppScan更进一步,使用“字符串分析”的检测方法进一步优化了基于开发人员的安全代码解决方案,这种方法不但可以减少误报情况的发生,还能够给开发人员提供易理解的可操作信息。
目前,大多数Web应用程序都依赖于用户与数据库之间的数据传输,不合适的检测软件会报告很多程序漏洞问题,但其实,绝大多数都是误报,AppScan开发者版能在建立代码模型时,更深入的处理字符串,便于日后检测时,能提出更准确的问题以及获得更准确的答案。
IBM对应用安全领域的兴趣越来越浓,新版AppScan将代码检测贯穿整个开发过程,这一点符合信用卡行业数据安全标准PCI-DSS的要求。分析家们认为,虽然就遵照PCI能否真的改善整体安全性这一问题还存在争议,但是推广PCI还是有助于控制代码检测方面的开支。
IBM期望借此产品扩大与同类厂商可竞争的领域。
