动态应用程序安全测试 (DAST) 工具 Fortify WebInspect

Fortify WebInspect 是一种动态应用程序安全测试 (DAST) 工具，可识别所部署的Web 应用程序和服务中的应用程序漏洞。

OpenText™ 推出的 Fortify WebInspect 是一种自动化DAST 解决方案,可提供全面的漏洞检测能力并有助于安全专业人士和 QA 测试人员识别安全漏洞和配置问题。它能模拟针对正在运行的应用程序发起的真实外部安全攻击，从而实现这一目的，以确定问题并排定根本原因分析优先级。WebInspect 拥有众多 REST API，让集成从中获益，并且可以灵活地通过直观的用户界面进行管理，或完全通过自动化机制运行。Fortify WebInspect 还有一种用于定义身份验证的单一统一方法，无论是静态、动态还是从宏中提取标记皆可使用该方法。

产品亮点

在集成中引入自动化
Fortify WebInspect 可作为全自动解决方案运行，以满足 DevOps 和伸缩需要，并可与 SDLC 集成，而无需增加额外开销。
• REST API 有助于实现更紧密的集成，自动执行扫描以及检查是否满足合规性要求。
• 利用 OpenText™ Application Lifecycle Management (ALM) 和 OpenText™ Quality Center 以及其他安全测试和管理系统的预建集成。
• 强大的集成功能使团队能够重复利用现有的脚本和工具。Fortify WebInspect 可以轻松地与任何 Selenium 脚本集成。
• 扫描 RESTful Web 服务：通过 WISwag 命令行工具支持 Swagger 和 OData 格式，使 Fortify WebInspect 能够适应任何 DevOps 管道。
• 基本设置：ScanCentral 管理员可以预配置扫描模板，并为用户提供扫描其应用程序的权限，而无需用户具备安全知识。

主要功能

• 功能性应用程序安全测试 (FAST)
  不必受制于 IAST 限制！FAST 可以承担所有功能测试，并通过与 IAST 相同的方式使用这些测试，但 FAST 会继续搜寻。即使功能测试未能成功完成，FAST 也不会漏掉这些测试。

• 黑客级别的深度见解
  查看客户端框架和版本号等发现结果 —— 如果未及时予以更新，所发现的这些问题可能会成为漏洞。

• 合规性管理
  与 Web 应用程序安全性相关的所有主要合规性法规（包括 PCI DSS、DISA STIG、NIST 800-53、ISO 27K、OWASP 和 HIPAA）的预配置策略和报告。

• 扫面任何 API 以提高准确性
  了解有关 API 的完整案例，无论是 SOAP、Rest、Swagger、OpenAPI、Postman、GraphQL 还是 gRPC。

• 通过横向缩放提高速度
  横向缩放功能使用 Kubernetes 创建极少版本的 WebInspect，而 Kubernetes 只关注JavaScript 的处理。凭借此功能，可以扫描并行作业，从而加快扫描速度。

• 管理企业应用程序安全风险
  监控应用程序内的趋势，并首先对最关键的漏洞采取措施，以满足 DevOps 需求。

• 灵活部署
  借助本地、SaaS 或 AppSec 即服务的灵活性，快速启动并根据需要进行扩展。

• 适用于工作流宏的 HAR 文件
  WebInspect 可以使用 HAR 文件进行工作流扫描，确保涵盖重要内容。

• 客户端软件组成
  客户端 Software Composition Analysis (SCA) 提供客户端库的CVE、开源项目的运行状况数据和可导出的CycloneDX SBOM。

主要优势

优势1、更快更早地发现漏洞
Fortify WebInspect 可以根据您的应用程序进行调整和优化，以便在 SDLC 中更快更早地发现漏洞。

使用可扩展攻击面覆盖范围并检测其他类型漏洞的代理技术增强扫描。

• Fortify WebInspect Agent 中集成了动态测试和运行时分析，以增强您的发现并扩大范围。它通过搜寻应用程序的更多数据、扩展攻击面覆盖范围以及比纯动态测试更好地揭露弱点击来识别漏洞。

优势2、使用高级技术确定优先级：
• 使用策略管理器运行针对高速处理而调整的自定义策略。
• 同步搜寻和审计。
• 消除重复数据：避免在应用程序的不同部分扫描相同的类别/功能，从而减少发送的攻击数量。
• 检查规避情形：如果代理确定应用程序可以应对攻击，则避免向特定检查类型发送多次攻击，从而减少发送的攻击数量。信息加载到 OpenText™ 推出的Fortify Software Security Center (SSC) 并与 OpenText™ 推出的 Fortify Static Code Analyzer 扫描结果一起使用，并在此处对问题进行关联。
• 冗余页面检测可缩短扫描时间。
• 开发人员可以获得代码行详细信息和返回的堆栈跟踪信息，因此可以更快地修复漏洞。
• 即使在双重身份验证 (2FA) 环境中， WebInspect 也会继续扫描。

优势3、通过自动化和代理技术节省时间
• 通过冗余页面检测、自动化宏生成、增量扫描和容器化交付等功能节省时间和资源。
• 优化扫描过程、加快速度并提高准确性。

优势4、搜寻现代框架和 Web 技术
Fortify WebInspect 可搜寻现代框架和Web 技术，并对所有漏洞类别进行全面审核。
• 支持最新的 Web 技术，包括 HTML5、 JSON、AJAX、JavaScript 和 HTTP2 等。
• 针对称为“带外”或 OAST 漏洞的新漏洞类别进行测试。通过使用公共 Fortify OAST 服务器，WebInspect 可以检测到Log4Shell 这类的 OAST 漏洞。
• 支持以下常见框架的单页应用程序 (SPA) 检测：Angular、AngularJS、React、GWT、Vue、Dojo 和 Backbone。
• 可以测试移动优化型网站以及本机Web 服务调用。
• Fortify WebInspect 可提供自动宏生成、宏验证和修复验证等功能，助力小型团队大规模检测和修复漏洞。
• 运行 Linux 版的 WebInspect 和ScanCentral DAST，以简化 AWS 和Azure 以及私有 Kubernetes 群集的云优先部署。

使用 ScanCentral DAST 管理企业AppSec 风险
利用补救和管理监督报告，管理整个企业的应用程序安全风险。监视应用程序中的漏洞变化趋势并采取应对措施。构建企业级的 AppSec 计划，该计划通过仪表板和报告管理您的风险概况并提供监督，以便您确认补救措施，跟踪指标、趋势和进度。ScanCentral DAST 可用作编制平台来运行数十万次扫描，以便小型 AppSec 专业人员团队能够管理整个组织。
• SCDast 可视化：在 SCDast 中查看 DAST 漏洞并对其进行分类。
• 用户和域限制：对 DAST 用户进行集中管理是一项复杂的工作。用户和域限制让管理员能够落实规则，以确保在自助服务模式下使用 ScanCentral DAST 时实现高质量扫描。
• PostGresSQL：MS SQL 是一款昂贵的数据库工具，因此 PostGresSQL 在不牺牲速度和质量的前提下，成为了 ScanCentral DAST 安装时的替代选择。
• ScanCentral DAST 与 Kubernetes 集成，以扩充传感器，既节省了成本，又确保每次扫描都运行在一个新的环境中。
• ScanCentral DAST 身份凭证管理：节省时间并在一个位置即可更新所有密码。
• ScanCentral DAST 储存库集成：在运行时从储存库中提取扫描配置项目，无需更新设置配置。

OpenText™ 推出的 Fortify 提供了全面的产品套件，为开发人员和 AppSec 专业人士带来了全面的安全性和可见性。Fortify 为 SDLC 中的任何工具、任何位置提供了自动集成，以及一组可在本地、云主机上使用或以即服务方式使用的强大功能。

OpenText™ Cybersecurity 是为现代企业提供安全性和合规性解决方案的卓越供应商，这些解决方案旨在降低混合环境中的风险并抵御高级威胁。基于来自 OpenText™ Cybersecurity Data Security,、ArcSight 和 Fortify 的出色产品，Cybersecurity 安全智能平台专为提供高级关联和分析、应用程序保护和数据安全而设计，旨在保护当今混合 IT 基础设施免受复杂的网络威胁侵扰。