OpenTextTM Fortify WebInspect 是业界知名的动态应用安全测试(DAST)工具,可识别已部署的 Web 应用及服务中的应用漏洞。
这一自动化 DAST 解决方案为客户提供全面的漏洞检测功能,并能帮助安全专家和 QA 测试人员快速识别安全漏洞和配置问题。它针对运行中的应用模拟真实的外部安全攻击,以发现问题并作用于根源分析。WebInspect 拥有超多 REST API 以加速整合,还可以提供直观、灵活的 UI 管理及百分百的自动化功能。此外,它拥有一个单一、集中式的认证定义,无论涉及静态、动态还是从宏中提取令牌(token)。
01 产品特色
功能性应用安全测试(FAST)
不被 IAST 所限制,FAST 是突围口。FAST 可以执行全部的功能测试,并以 IAST 的方式开展这些测试,完成后也可以保持运行。即便功能测试疏忽了,FAST 也不会错过。
黑客级洞察力
支持查看客户端框架和版本号等——这些如果不更新将成为漏洞。
工作流宏的 HAR 文件
WebInspect 可以使用 HAR 文件进行工作流扫描,确保扫描覆盖全部重要内容。
企业应用安全风险管理
监控应用内部趋势,首先针对最关键的漏洞优先采取行动以满足 DevOps 需求。
灵活部署
通过灵活的内部部署、SaaS 或“应用安全即服务”,快速启动应用并根据需求扩展。
合规管理
针对所有与 Web 应用安全相关的主要合规法规,预先内置策略及报告,包括 PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPAA。
横向扩展加速扫描
横向扩展 Kubernetes 以创建微型的 WebInspect,它只专注于处理 JavaScript,使扫描可以并行加速。
扫描任何 API 以提高准确度
获取 API 的完整信息,包括 SOAP、Rest、Swagger、OpenAPI、Postman、GraphQL 与 gRPC。
客户端软件构成(SCA)
SCA 提供客户端库的 CVE、开源项目的健康数据以及可导出的 CycloneDX SBOM。
02 产品亮点
自动化与集成
Fortify WebInspect 可以作为完全自动化的解决方案运行,以满足 DevOps 和灵活扩展的需要,并与 SDLC 集成,而无需支付额外费用。
- REST API 有助于促进无缝集成,以及确保自动扫描和检查符合合规要求;
- 可利用 OpenTextTM 应用生命周期管理(ALM)和 OpenTextTM 质量中心(Quality Center)以及其他安全测试和管理系统预先构建的集成;
- 强大的集成支持团队复用历史脚本和工具,别忘了 WebInspect 可以轻松与所有 Selenium 脚本集成;
- 提供 RESTful Web 服务扫描:通过 WISwag 命令行工具支持 Swagger 和 OData 格式,使 Fortify WebInspect 能融入任意的 DevOps 管道;
- 强大的基础设置:ScanCentral 管理员可预先配置扫描模板,帮助用户扫描其应用——而且不需要任何专业的安全知识。
03 产品优势
更快、更早地发现漏洞
Fortify WebInspect 可以随时调整优化您的应用,以便在全生命周期(SDLC)中更快、更早地发现漏洞。它利用代理技术增强扫描效果,扩大对攻击面的覆盖范围,可检测更多的漏洞类型。
- Fortify WebInspect Agent 整合了动态测试和运行时分析,以增强您的发现,扩大攻击面的覆盖范围。它可以抓取更多应用以识别漏洞,相比单独的动态测试能更好地让漏洞暴露。
Fortify WebInspect 利用先进技术确定优先次序:
- 支持运行已被策略调整器改造为高速的自定义策略;
- 支持同时抓取和审计;
- 数据去重:避免在应用的不同部分扫描同一类别/功能,减少威胁噪音;
- 如果客服判断特定应用可以自行处理威胁,则避免向特定的检查类型发送更多指令来减少攻击数。该信息将被加载至 OpenTextTM Fortify Software Security Center (SSC) 并与 OpenTextTM Fortify Static Code Analyzer 扫描结果配合使用;
- 检测冗余页面以减少扫描时间;
- 为开发人员提供代码行细节以及返回的堆栈跟踪信息,加速修复漏洞;
- 即使在双因素认证(2FA)环境中 WebInspect 也会持续扫描。
利用自动化和代理节省时间
- 通过检测冗余页面、生成自动宏、增量扫描和容器化交付等功能节省时间和资源;
- 优化扫描过程,提升速度及准确性。
抓取现代框架和网络技术
Fortify WebInspect 支持抓取现代框架和网络技术,以涵盖所有漏洞类别并进行全面审计:
- 支持最新网络技术,包括 HTML5、JSON、AJAX、JavaScript、HTTP2 等;
- 测试“带外”漏洞或 OAST 上出现的新漏洞。基于公共 Fortify OAST 服务器,WebInspect 可以检测 OAST 漏洞如 Log4Shell;
- 提供 Single Page Application(SPA)检测,支持常见框架如 Angular、AngularJS、React、GWT、Vue、Dojo 和 Backbone;
- 测试针对移动端优化的网站及调用本地网络服务;
- 提供自动宏生成、宏验证和修复验证等功能,让小型团队也能大规模地检测和修复漏洞;
- 运行 Linux 版本的 WebInspect 和 ScanCentral DAST,简化与 AWS 、Azure 以及私有 Kubernetes 集群的云优先部署。
用 ScanCentral DAST 掌握全企业的应用安全风险(AppSec)
通过 ScanCentral DAST 报告管理跨越整个企业的安全风险,以加速补救漏洞、提效监督管理。监测趋势并针对应用的漏洞采取行动。建立企业范围内的 AppSec 计划,通过仪表盘和报告来管理和提供风险状况的透明度,您可以据此确定具体的补救措施,跟踪后续指标、趋势和进度。ScanCentral DAST 可以作为协调平台来运行数十万次扫描,让小型的 AppSec 团队有能力来管理整个组织。
- SCDast 可视化:在 SCDast 中查看和分流 DAST 漏洞;
- 用户和域限制:对 DAST 用户的集中管理非常复杂。用户和域的限制,允许管理员在用 ScanCentral DAST 自我服务模式时制定规则以确保扫描的质量;
- MS SQL 是一个昂贵的数据库选项,所以在 PostGresSQL 安装 ScanCentral DAST 时提供了另一种选择,而无需牺牲速度和质量;
- ScanCentral DAST 与 Kubernetes 集成用于扩展传感器,既能节省成本,又能确保每一次扫描都预留有足够的空间;
- ScanCentral DAST 凭证管理:节省时间并统一更新所有密码。
- ScanCentral DAST repo 集成:运行时从存储库中提取扫描配置工件,无需手动更新配置。
(文章来源公众号:MicroFocus)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
关于九游会J9电子
上海九游会J9电子技术有限公司是国内资深的研发工具软件提供商,公司成立于2009年,面向中国广大的制造业客户提供研发、设计、管理过程中使用的各种软件开发工具,致力于帮助客户提高研发管理效率、缩短产品设计周期,提升产品可靠性。
十多年来,先后与ARM、Altium、Ansys、QT、Green Hills、Minitab、EPLAN、QA Systems、OpenText、Visu-IT、HighTec、PLS、Ashling、MSC Software、Autodesk、Source Insight、IncrediBuild、Lauterbach、Adobe、Testplant、TeamEDA等多家全球知名公司建立战略合作伙伴关系,并作为他们在中国区的主要分销合作伙伴服务了数千家中国本土客户,为客户提供从芯片级开发工具、EDA设计工具、软件编译以及测试工具、结构设计工具、仿真工具、电气设计工具、以及嵌入式GUI工具等等。九游会J9电子凭借多年的经验积累,真正的帮助客户实现了让研发更简单、更可靠、更高效的目标。
欢迎关注“九游会J9电子”公众号
了解更多研发工具软件知识