陳宛綺
看好新版個資法即將過關的商機,IBM 今日特別提出,在其 Rational 軟體產品線中,新推出了 AppScan Standard Edition 7.8 新版本,能夠藉由黑箱、白箱測試工具,降低企業網頁因漏洞導致資料外洩的情況產生。
Rational AppScan 是 IBM 在 2007 年購併 Watchfire 之後所推出的產品。最主要是提供企業在開發軟體階段,即能進行安全性的測試。
臺灣 IBM 軟體事業處 Rational 品牌經理胡育銘表示,根據他的瞭解, 新版的個資法很快就會過關,一旦過關,未來企業只要洩漏一筆個人資料,企業將被罰款 2-10 萬元。而面對現在 Web 應用程式已經成為駭客的首要目標,因此 IBM 特別在此時強調 Rational AppScan 所能帶給企業的好處。
AppScan Standard Edition 主要包括由 AppScan Standard Ed 、 AppScan Developer Ed 等軟體。企業可藉由 AppScan Standard Ed 這套黑箱測試工具,模擬各種駭客攻擊的手法,來判斷系統是否存在安全性問題,並提出那些問題應該立即處理,提供輕重緩急順序的建議做法。
AppScan Developer Ed 則是一套白箱測試工具,主要提供給程式開發人員使用,可以分析網頁應用程式的原始碼,判斷系統是否存在安全性問題。 IBM 軟體事業處高級資訊工程顧問陳家豪表示,目前該工具僅支援 java 開發平台,預計下半年將可支援.Net 平台,明年則可支援 php 。
Rational AppScan 主要針對的對象為電子商務網站、網路銀行等產業。陳家豪表示,只要是以網頁形式提供服務,且推出網路服務頻率高的產業,都是 AppScan 的主要客群。
由於這套產品售價並不便宜 (黑箱測試工具約 80 萬臺幣、白箱測試工具約 10-20 萬臺幣),因此看起來主要還是中大型客戶才有此能力購買。至於中小型企業,因應法規問題,仍可能會有一次性的網站應用程式弱點掃描服務的需求,IBM 軟體事業處亞太區 Rational AppScan 業務總監林福存表示,目前 IBM 在這一塊產品線中,尚無計畫推出類似 SaaS 這種一次性的弱點掃描服務,但目前 IBM 的合作夥伴則有提供這類的顧問服務。
此外,由於一套黑箱、白箱測試工具的價格不斐,加上企業端往往有許多老舊程式,透過這類工具掃描,可能又得花上許多時間,因此企業多選擇採用 Web Application Firewall 來阻擋可能的攻擊。林福存表示,企業不應該像鴕鳥一樣忽略掉最根本的問題,畢竟 Web Application Firewall 只能治標不能只治本,面臨未來法規的壓力,企業還是應該要從程式開發階段就該注意安全性的問題。
在新版 Rational AppScan Standard Edition 7.8 產品中增加了新功能,除可讓企業在部署網頁內容之前,先掃描和測試以 Flash 為基礎的網頁內容和應用,也可掃描以 Ajax 技術設計的網站。另外在授權機制上也多增加了彈性,可以購買一個授權,但可多人使用,不過同時間僅能允許一人在線。