Micro Focus® Fortify WebInspect 是一款动态应用程序安全测试工具,可识别已部署 Web 应用程 序和服务中的应用程序漏洞。WebInspect 可利用最全面和最准确的动态扫描程序来扫描当今主 流的技术框架和 Web 技术。该产品可轻松部署到企业环境当中,并具有详尽的 REST API 用以 促进集成,它还可以通过直观的 UI 界面或完全自动化运行来实现安全风险管理的灵活性。 WebInspect 可提供最广泛的动态应用程序安全测试 (DAST) 覆盖范围,并可检测黑盒安全测试 技术经常检测不到的新型漏洞。
产品亮点 : 发现更多漏洞 WebInspect 是一款全面的动态应用程序扫 描程序,它能够对所有漏洞类别执行全面 审计,由此对现代框架和 Web 技术进行 爬网。
管理企业应用程序安全风险 • 监控趋势,并针对应用程序中的漏洞采取措施。
通过自动化和集成节省时间 • 可满足 DevOps 和扩展性需求的完全自动化解决 方案。无需任何额外成本开销即可与 SDLC 进行 集成,从而最大程度地克服软件开发流程中的 阻力。 合规性管理 • 预配置策略和报告能够满足 PCI DSS、DISA STIG、 NIST 800- 53、ISO27000、OWASP 和 HIPPAA 等所 有与 Web 应用程序安全性有关的重要合规性法规 标准。 利用代理技术优化扫描结果 • 从扫描的 Web 应用程序中取得额外的可见性和堆 栈跟踪见解。利用该项技术优化扫描流程的速度 和准确性。 实现内部部署或“服务化 • 快速启动,并根据需求以内部部署、“服务化” 或“混合化”的方式进行扩展。 利用高级技术确定优先级:
使用策略管理器运行为实现高速而进行 调整的自定义策略
Software Security Center (SSC),并会与已关联问题的 Fortify Static Code Analyzer (SCA) 扫描结果 搭配使用。
WebInspect 可作为一套完全自动化解决方案运行,用以满足DevOps 和扩展需求,并 且能够与 SDLC 进行集成,而无需任何额外 的成本开销。 扫描 RESTful Web 服务:通过 WISwag 命令行工具支持 Swagger 和 OData 格式。 快速、尽早地发现漏洞
WebInspect 可通过各种控件进行调整,从 而能够快速发现漏洞,它还会调整已针对 应用程序和组织安全的危险性而进行过优 化的性能。 利用可扩展攻击面覆盖区域的代理技术增 强扫描,并检测更多类型的漏洞。 通过集成动态和运行时分析发现更多 漏洞,并更多快速地进行修复。 WebInspect Agent 会对应用程序进行 进一步爬网,从而扩展攻击面的覆盖 范围(隐藏目录和页面、OATH 身份 验证、未使用的参数/后门程序、隐 私侵犯)并检测可能会被黑盒安全测 试技术遗漏的新型漏洞。IAST 可通过 功能测试遵循已经进入到应用程序的 内容。 增量扫描会锁定新生成应用程序表面中的 漏洞检测。通过 REST API、GUI 或命令行可 灵活地访问该功能 企业就绪/集成
WebInspect 提供交互式漏洞检查和重复测 试功能,有助于安全团队从开发层面验证 问题和回归测试修复。通过开发所获取的 安全测试闭环反馈可改善组织内部的整体 安全有效性。 利用修正和管理监督报告,管理企业内部的 应用程序安全风险。监控趋势,并针对应用 程序中的漏洞采取措施。构建企业范围的 AppSec 程序,以通过仪表板和报告管理并 获得风险状况的可见性,从而可以确认修正, 跟踪指标、趋势和进度。WebInspect Enterprise 会建立共享服务,以便在集中结 果的同时发布安全情报。Site Explorer— Standalone 允许开发人员获取丰富的修正信 息以及 WebInspect 一类的视图。 具有预配置策略和报告的合规性管理能够 满足 PCI、SOC、ISO、OWASP 和 HIPPAA 等 全部与应用程序安全相关的重要合规性法 规标准。合规性管理器工具能够支持定制 现有策略或创建新的策略。 灵活的交付模式支持快速启动,并且能够 按照需求利用内部部署或“服务化”方法 进行扩展。 技术,以及运行时应用程序监控和保护功 能。其解决方案可在公司内部或是通过服 务化方式进行部署,从而打造灵活、可扩 展的软件安全保障计划,用以满足当今 IT 组织不断变化的需求。
|
