在日前舉行的IBM年度軟件創(chuàng)新論壇Innovate2012上，IBM推出全新軟件，幫助各類組織設(shè)計(jì)和開發(fā)更為安全的移動應(yīng)用。有了該軟件，客戶可以在最初設(shè)計(jì)移動應(yīng)用時(shí)就將安全問題考慮在內(nèi)，以便在開發(fā)的早期發(fā)現(xiàn)漏洞。新軟件的推出進(jìn)一步拓展了IBM的移動平臺戰(zhàn)略，即為客戶提供一個(gè)涵蓋應(yīng)用程序開發(fā)、集成、安全和管理的移動平臺。

移動安全成為趨勢

與網(wǎng)站應(yīng)用的漏洞相比，移動應(yīng)用受到攻擊的風(fēng)險(xiǎn)更大，因此，移動應(yīng)用程序無疑是一個(gè)新的攻擊目標(biāo)。由于很多企業(yè)并未意識到最基礎(chǔ)的移動應(yīng)用也會帶來安全風(fēng)險(xiǎn)，移動應(yīng)用日益成為了攻擊者的重點(diǎn)攻擊對象。舉例來說，除了傳統(tǒng)的攻擊外，黑客還可能對應(yīng)用程序發(fā)起SQL注入（SQL injection）攻擊或腳本攻擊。移動應(yīng)用程序也會受到惡意軟件和網(wǎng)絡(luò)釣魚的攻擊，或在掃描帶有惡意腳本的QR碼時(shí)受到攻擊。此外，移動應(yīng)用還會帶來移動設(shè)備特有的安全漏洞，因?yàn)檫@些應(yīng)用會保存一些可能泄露給惡意程序的敏感數(shù)據(jù)。一旦存儲在本地，此類數(shù)據(jù)通常就無法受到企業(yè)安全項(xiàng)目的保護(hù)。新的AppScan分析軟件能發(fā)現(xiàn)這些漏洞，以幫助開發(fā)人員創(chuàng)建更安全的移動應(yīng)用。

IBM安全系統(tǒng)部戰(zhàn)略與產(chǎn)品管理副總裁Marc van Zadelhoff表示：“IBM移動戰(zhàn)略的下一步舉措就是讓客戶有能力掃描移動應(yīng)用程序中的安全漏洞，包括公司自己開發(fā)的程序和外包開發(fā)的程序。使用移動設(shè)備訪問IBM網(wǎng)絡(luò)的IBM員工超過了12萬，我們必須竭盡全力去開發(fā)一種安全可靠的員工工作方式。”

員工移動化步步為營

隨著新軟件的發(fā)布，IBM將其市場領(lǐng)先的靜態(tài)應(yīng)用安全測試進(jìn)一步拓展到了本地Android應(yīng)用程序上，使客戶能夠自己進(jìn)行移動應(yīng)用測試。過去，如果想對移動應(yīng)用進(jìn)行安全測試，客戶必須將其應(yīng)用和軟件IP發(fā)給外部供應(yīng)商以測試漏洞。由于移動應(yīng)用要經(jīng)歷不斷的修正與更新，這種做法不具備可擴(kuò)展性，而且反應(yīng)時(shí)間太長。企業(yè)需要的是在軟件開發(fā)生命周期的早期就在內(nèi)部完成移動應(yīng)用的安全測試。

在采用了Security AppScan后，除了移動應(yīng)用測試能力外，客戶還能獲得以下重要能力：

與IBM的QRadar安全智能平臺進(jìn)行集成，提高應(yīng)用程序投產(chǎn)時(shí)的安全智能。通過將已知的應(yīng)用漏洞與用戶和網(wǎng)絡(luò)活動相關(guān)聯(lián)，QRadar能夠自動提高或降低安全事件的優(yōu)先級得分。

新的跨站腳本攻擊（Cross Site Scripting，XSS）分析器利用一種學(xué)習(xí)模式從不到20項(xiàng)核心測試中快速評估數(shù)百萬項(xiàng)潛在測試。相比之前的各版AppScan，該分析器能以更快的速度發(fā)現(xiàn)更多的XSS漏洞。

新的靜態(tài)分析能力能夠幫助企業(yè)采納廣泛的安全實(shí)踐，通過簡化的應(yīng)用程序加載過程以及為非安全專家賦權(quán)的方式達(dá)到比先前版本更快的測試速度。

預(yù)先定義的可定制模板能讓開發(fā)團(tuán)隊(duì)迅速將重點(diǎn)放在已由安全團(tuán)隊(duì)排定優(yōu)先級的規(guī)則集上，這樣企業(yè)就能夠?qū)⒆⒁饬械浇M織內(nèi)的重要問題上。

除了與QRadar集成，AppScan還提供了IBM Security Network IPS和IBM Security SiteProtector的集成點(diǎn)，并作為常規(guī)性補(bǔ)充產(chǎn)品隨IBM Guardium及IBM Security Access Management解決方案發(fā)售，以保證端到端的應(yīng)用程序安全。這種做法的目的是在開發(fā)與生產(chǎn)生命周期內(nèi)為應(yīng)用程序提供一個(gè)綜合的集成式安全框架。

IBM擁有廣泛的移動安全解決方案產(chǎn)品線，從保護(hù)設(shè)備數(shù)據(jù)到運(yùn)行更安全的移動應(yīng)用程序，各種用途不一而足。十多年來，IBM通過有機(jī)增長和對外收購兩種方式穩(wěn)步投資移動領(lǐng)域，由此建立了完整全面的軟件和服務(wù)產(chǎn)品線，進(jìn)而為客戶提供企業(yè)級移動能力。

IBM Security AppScan將于2012年第二季度全面上市。