可扩展
可扩展的应用程序安全测试,使企业能够在一个地方管理多用户、多应用程序的安全测试程序。
开发运营就绪
全面的REST API实现了自动化并无缝集成到DevOps CI/CD管道中。安全和开发团队可以在整个应用程序开发生命周期中协作、定义策略和执行测试。
基于风险的管理
有效的管理和报告工具,用于测试策略、扫描模板、用户、应用程序、法规遵从性状态、修正跟踪等。
可操作性
基于风险的应用程序安全管理允许企业定义相关的风险因素,AppScan对这些风险因素自动对应用程序的风险进行分类
AppScan 企业版优势
自动化安全检测
使用强大的扫描引擎检测漏洞,并在黑客发现它们之前进行修复
可扩展
针对web应用、web服务和移动后端的大规模、多用户、多应用动态安全测试
集中管理
跟踪多个安全测试计划,以确保有效实施策略并管理风险
可诉报告
为每个检测到的漏洞提供可操作的修复建议,以简化修复
经过市场验证
甚至测试最复杂的Web应用程序
法规遵从性
实现对行业标准和基准的遵从性,如PCI DSS、HIPAA、OWASP Top 10、SAN 25等
产品名称 | AppScan 标准版 | AppScan 企业版 |
---|---|---|
产品定位 | 针对WEB网站的安全测试工具 | 不仅仅是安全测试,而且是应用安全管理工具,可以对WEB网站进行安全扫描,也可以进行安全管理,包括扫描任务分发,扫描权限控制,扫描结果汇总,报告综合分析等。 |
产品架构 | 标准版程序(C/S模式),安装在Windows操作系统上,直接打开即用 |
三层加购,部署为网站应用程序(B/S模式),用户通过浏览器访问来即建立扫描任务,查看扫描结果,汇总分析扫描报告等。 支持使用IIS作为WEB服务器,使用SQL Server 2005以上版本作为数据库 |
漏洞管理 | 标准版可以对扫描的结果进行查看和标记,并可以进行重新测试 |
拥有漏洞管理功能,可以按照公司、部门、项目等纬度对漏洞数量和进度进行管理 可以集成其他第三方漏洞扫描平台扫描结果 平台漏洞结果可以通过文件模式进行导出,也可以通过API模式进行接口获取 |
扫描规则库 | 包含针对网站的黑盒安全扫描规则库 |
包括针对网站的黑盒安全扫描规则库 以及针对代码的代码级安全扫描规则库 |
报告能力 | 支持,报告展现为PDF或者word文档 |
支持报告的汇总,图文话的在线展示,如饼状图,柱状图等汇总分析 可以针对一份扫描结果,同时产生多份报告,如分别产生安全扫描报告,针对行业标准,国家政策等的合规性报告等。 |
扫描权限管理 |
单机版打开以后可以扫描任务网站 如果需要控制,可以在产生License时候设定可以扫描的IP范围 |
三层的控制扫描权限,按照用户和角色来划分权限,可以控制到“哪个用户”可以“使用哪个扫描策略”扫描“哪个目标网站”等 |
用户管理 | 无,没有用户概念 | 管理员,扫描管理员,报告者,报告使用者等,支持自定义角色和导入用户 |
扫描能力扩充 | 并发使用License,按照License来扩充,可以在多台电脑上安装,控制的是同时打开使用的个数,不能超过购买的License的最大个数 |
一个扫描代理上支持多份扫描代理多扩充等 扩充分为用户等扩充和扫描代理的扩充等 企业版已经包含了代码安全扫描的规则库,以后扩展代码安全能力时候,只需要增加代码扫描客户端即可,不需要服务器端 企业版支持扫描断点续扫功能 企业版支持定时扫描功能设定 |
两者关系 | 标准版的扫描结果可以直接发布到企业版本中,和企业版中的扫描报告合并,汇总,综合分析等 | |
建议的使用模式 |
标准版安装在windows终端上,分别携带和使用,用于快速扫描,以及出差办公等不能连接到服务器的情况 企业版在企业集中部署,集中定期执行对企业众多网站的安全检察 标准版的扫描结果上传到企业版中,形成汇总的结果分析 |