1、AppScan Source 8.7简介 支持Windows、OS X、Linux 可以扫描 Eclipse 3.8 项目文件,并且 AppScan Source for Development(Eclipse 插件) 可以应用于Eclipse 3.8 支持Android、iOS AppScan Source V8.7 中弃用的功能 从 AppScan Source V8.7 开始,不再支持以下操作系统: Microsoft Windows Vista(所有版本) Service Pack 3 之前的所有级别的 Microsoft Windows XP。 所有版本的 S
2、olaris。 此外,AppScan Source V8.7 中不再支持 Oracle 10g。 -------------------------------------------------------------------------------- 安装 需要在Win2003以上版本安装AppScan Enterprise Server,导入License,如果之前有配置JAVA_HOME环境变量,最好去掉。配置Jazz Team Server , 默认账号:ADMIN\ADMIN, 采用标准桌面部署模式,AppScan Source 需要连接AppScan
3、Enterprise Server: https://localhost:9443/asc 再安装AppScan Source,导入License。 打开IBM Security AppScan Source for Analysis,添加要扫描的应用程序。 支持Android扫描、Web扫描、快速扫描、大规模应用程序扫描等模式。 扫描完可在“会审”页看到漏洞统计分析结果的相关图表。 在“分析”页可查看每个漏洞的详细详细分析,包括Trace、上下文、源代码,还有漏洞相关帮助文档、修复指南等信息。 ----------------------------------
4、 安全知识库 http://localhost:13170/kb_zh_CN.html 号称:AppScan Source 安全知识库是行业中最大且最全面的知识库,其中包括数万个用来确定造成软件漏洞 的编码错误、设计缺陷和策略违例的条目。该知识库是 IBM 在安全编码最佳实践和信息安全方面数十年经验的体现。 漏洞规则配置 对移动应用的支持 API-ObjectC 6个漏洞检查点 模式-ObjectC 2个漏洞检查点 API-JAVA-android 49个漏洞检
5、查点 对Android的支持 G:\IBM\AppScan Source\AppScan Source测试ExploitMe Mobile Android Labs项目.docx Eclipse插件安装方法: 对iOS的支持 Apple 移动应用程序(基于 iOS)的安全分析 Apple 移动应用程序通常是在 OS X 平台上开发的,以便部署在运行 iOS 的 Appl 移动设备上(例如,iPhone 和 iPad)。例如,某个 Apple iPhone 应用程序可能是在运行 OS X V10.8 的 MacBook Pro 上开发的,但是此应用程序可能
6、将部署在运行 iOS V6.0 的 iPhone 上。 现在可以在 OS X 上(并非 Apple 移动设备)上执行 AppScan Source 安全分析,但是分析将侧重于 iOS 安全风险。 广泛的 iOS 安全研究以识别 Apple 移动应用程序风险 通过与 IBM® Security Research 部门协作,对 iOS 软件开发包 (SDK) 进行了全面分析以识别可能引入应用程序安全风险的应用程序编程接口 (API)。我们调查了 API 的详尽列表以确定某些 API 是否为有风险信息(输入)、接收器(输出)的来源,或者这些 API 是否在传播安全风险。已经将 API 概要文件
7、添加到 AppScan Source Security 知识库 并且与分析引擎绑定。这样便可以识别特定于 iOS 的安全风险。 结合针对 Android SDK 进行的研究,AppScan Source 已研究并总结了大约 30,000 个 API 的安全风险。 Xcode IDE 互操作性 Xcode 是指 Apple 集成开发环境 (IDE)。开发人员使用 Xcode IDE 来编写其移动应用程序。OS X 上的 Xcode 与 Windows 上的 Visual Studio 类似。但是,与 Visual Studio 或 Eclipse 不同的是,Xcode 不支持插件体系结构。
8、因此,AppScan Source 提供了某些功能以实现与 Xcode 的互操作性以及支持以开发者为中心的应用程序安全分析。AppScan Source 可以读取和导入 Xcode 项目。 由于 Xcode 不支持第三方插件模块,因此目前我们在 OS X 上不提供对 AppScan Source for Development 或 AppScan Source for Remediation 的支持。在 AppScan Source V8.7 发行版中,仅 AppScan Source for Analysis 和 AppScan Source for Automation 在 OS X 上
9、可用。此外,应注意,将基于 OS X 的 AppScan Source 产品连接到 Windows 或 Linux 版本的 AppScan Enterprise 服务器时,仍具有要求。 Objective-C 支持 Objective-C 编程语言是 C 编程语言的超集,但是大体上是一种不同的语言。Objective-C 是用于开发 Apple 移动应用程序的主要语言。AppScan Source V8.7 提供对 Objective-C 的完整语言支持。这种支持包括完整数据和调用流分析(也称为跟踪支持)。AppScan Source 可以构建从源(输入)到接收器(输出)的图形表示法(跟踪
10、 其中一种最大的移动应用程序安全风险是对数据进行未经授权的访问。AppScan Source 将突出显示数据离开应用程序的所有位置,从而高效率地提供应在应用程序中应用加密的位置图。 以 Objective-C 编写的应用程序的分析是基于 iOS SDK 并且集中于 Apple 移动应用程序。不支持以 Objective-C 编写且以 Mac OS X 为目标运行平台的应用程序。 增强的 JavaScript 支持 在 AppScan Source V8.7 之前,AppScan Source 对 JavaScript 的支持是基于正则表达式分析。强大的正则表达式模式用于识别安全风险
11、但是,对正则表达式分析的其中一个限制是,无法执行调用和数据流分析。 AppScan Source V8.7 提供了对 JavaScript 的增强支持,其中包括执行调用和数据流分析的功能。JavaScript 分析现在将生成跟踪信息。 OS X 上支持多种语言 AppScan Source 在 OS X 上支持分析 Objective-C、Java™ 和 JavaScript。这将解决某些开发团队在 Mac 平台上同时开发 Apple 和 Android 移动应用程序的情况。 注: OS X 上 AppScan Source 仅支持以下几种语言。 在 OS X 上安装 AppS
12、can Source 1. 启动安装向导。 2. 在 OS X 上安装需要管理员密码。要输入管理员密码,请在“认证”面板中单击锁定图标。 3. 将显示一个屏幕,通过该屏幕您可以选择将在安装面板中显示的本地语言。选择语言,然后单击确定以继续。 4. 启动安装向导后,“欢迎 - 安装向导”面板打开并建议您退出任何打开的应用程序。单击下一步以开始安装过程。 5. 选择安装类型后,单击下一步以前进到下一安装面板。 6. 如果选择了标准桌面或服务器作为安装类型,那么将显示“服务器组件选择”面板。在此面板中,请确保仅选择了 IBM® Security AppScan Source for Au
13、tomation。 单击下一步以前进到下一安装面板。 7. 在“客户机组件选择”安装面板中,复审要安装的客户机组件: o IBM Security AppScan Source for Analysis o IBM Security AppScan Source 命令行界面 (CLI) 缺省情况下,将同时选择这两个组件。 选择了要安装的客户机组件后,请单击下一步以前进到下一安装面板。 8. 在“安装目标指定”页面中,指定安装目录。缺省目录为(按操作系统): o 32 位版本的 Microsoft Windows 7、Microsoft Windows Server 200
14、8、Microsoft Windows XP 和 Microsoft Windows Server 2003:
15、装在 /opt/ibm/appscansource 中。如果您不是 root 用户,那么可以安装 AppScan Source for Development Eclipse 插件,它在缺省情况下安装到
16、root 用户特权才能安装 AppScan Source 服务器组件。 单击下一步以前进到下一安装面板。 9. 在语言包选择面板中,选择要安装的语言包。安装语言包时,如果 AppScan Source 用户界面在正运行此语言环境的操作系统上运行,那么该用户界面将以此语言来显示。 缺省情况下,将选择英语(且不能取消选择)。如果安装向导显示的是非英语的本地语言(换言之,在安装向导欢迎面板中选择了非英语语言),那么在此面板中也将选择该语言(但是,可以取消选择该语言)。 选择了要安装的语言包后,请单击下一步以前进到下一安装面板。 注: 如果不安装特定语言包,那么在安装后将无法添加该语言。
17、 10. 复审并接受许可协议中的条款,然后单击下一步以继续。 11. 复审安装选项的摘要,然后继续。如果要更改所作的选择,请单击上一步以返回到先前的页面。当您对安装选项满意后,请单击安装。安装程序将文件复制到硬盘驱动器。 仅限 Linux 服务器安装:复制文件后,您必须确定守护程序用户。选择创建用户“ounce”或以现有用户运行以创建缺省用户 ounce,或者以现有用户运行。(安装将验证该用户是否存在。请注意,所选用户必须具有有效 shell。) 在安装期间,任何时候单击取消都将导致卸载所有组件。 12. 在“安装完成”面板中,可通过选择启动 IBM Security AppScan
18、 Source License Manager 来在退出安装向导后立即启动产品激活。单击完成以完成标准安装,并退出“安装向导”。 13. 在 License Manager 实用程序中: . 要应用许可证文件,请单击导入,然后浏览至已下载的 AppScan Source 许可证。 a. 要应用浮动许可证,请单击配置许可证服务器,然后单击添加。输入包含了浮动许可证的主机的信息。 请参阅正在激活软件以获取其他的激活指示信息。 如果 AppScan Source 用户帐户尚不存在,那么您将需要在 AppScan Source for Automation“配置”安装面板中予以指定,然后通过 AppScan Enterprise Server、AppScan Source for Analysis 或 AppScan Source 命令行界面 (CLI) 手动予以创建(安装后)。为获取对 AppScan Source for Automation 功能的完整访问权,此用户帐户需拥有以下许可权: · 应用程序和项目管理 o 注册 o 扫描 · 评估管理 o 保存评估 o 发布评估






