在日前舉行的IBM年度軟件創(chuàng)新論壇Innovate2012上，IBM推出全新軟件，幫助各類組織設計和開發(fā)更為安全的移動應用。有了該軟件，客戶可以在最初設計移動應用時就將安全問題考慮在內，以便在開發(fā)的早期發(fā)現漏洞。新軟件的推出進一步拓展了IBM的移動平臺戰(zhàn)略，即為客戶提供一個涵蓋應用程序開發(fā)、集成、安全和管理的移動平臺。

移動安全成為趨勢

與網站應用的漏洞相比，移動應用受到攻擊的風險更大，因此，移動應用程序無疑是一個新的攻擊目標。由于很多企業(yè)并未意識到最基礎的移動應用也會帶來安全風險，移動應用日益成為了攻擊者的重點攻擊對象。舉例來說，除了傳統(tǒng)的攻擊外，黑客還可能對應用程序發(fā)起SQL注入（SQL injection）攻擊或腳本攻擊。移動應用程序也會受到惡意軟件和網絡釣魚的攻擊，或在掃描帶有惡意腳本的QR碼時受到攻擊。此外，移動應用還會帶來移動設備特有的安全漏洞，因為這些應用會保存一些可能泄露給惡意程序的敏感數據。一旦存儲在本地，此類數據通常就無法受到企業(yè)安全項目的保護。新的AppScan分析軟件能發(fā)現這些漏洞，以幫助開發(fā)人員創(chuàng)建更安全的移動應用。

IBM安全系統(tǒng)部戰(zhàn)略與產品管理副總裁Marc van Zadelhoff表示：“IBM移動戰(zhàn)略的下一步舉措就是讓客戶有能力掃描移動應用程序中的安全漏洞，包括公司自己開發(fā)的程序和外包開發(fā)的程序。使用移動設備訪問IBM網絡的IBM員工超過了12萬，我們必須竭盡全力去開發(fā)一種安全可靠的員工工作方式。”

員工移動化步步為營

隨著新軟件的發(fā)布，IBM將其市場領先的靜態(tài)應用安全測試進一步拓展到了本地Android應用程序上，使客戶能夠自己進行移動應用測試。過去，如果想對移動應用進行安全測試，客戶必須將其應用和軟件IP發(fā)給外部供應商以測試漏洞。由于移動應用要經歷不斷的修正與更新，這種做法不具備可擴展性，而且反應時間太長。企業(yè)需要的是在軟件開發(fā)生命周期的早期就在內部完成移動應用的安全測試。

在采用了Security AppScan后，除了移動應用測試能力外，客戶還能獲得以下重要能力：

與IBM的QRadar安全智能平臺進行集成，提高應用程序投產時的安全智能。通過將已知的應用漏洞與用戶和網絡活動相關聯，QRadar能夠自動提高或降低安全事件的優(yōu)先級得分。

新的跨站腳本攻擊（Cross Site Scripting，XSS）分析器利用一種學習模式從不到20項核心測試中快速評估數百萬項潛在測試。相比之前的各版AppScan，該分析器能以更快的速度發(fā)現更多的XSS漏洞。

新的靜態(tài)分析能力能夠幫助企業(yè)采納廣泛的安全實踐，通過簡化的應用程序加載過程以及為非安全專家賦權的方式達到比先前版本更快的測試速度。

預先定義的可定制模板能讓開發(fā)團隊迅速將重點放在已由安全團隊排定優(yōu)先級的規(guī)則集上，這樣企業(yè)就能夠將注意力集中到組織內的重要問題上。

除了與QRadar集成，AppScan還提供了IBM Security Network IPS和IBM Security SiteProtector的集成點，并作為常規(guī)性補充產品隨IBM Guardium及IBM Security Access Management解決方案發(fā)售，以保證端到端的應用程序安全。這種做法的目的是在開發(fā)與生產生命周期內為應用程序提供一個綜合的集成式安全框架。

IBM擁有廣泛的移動安全解決方案產品線，從保護設備數據到運行更安全的移動應用程序，各種用途不一而足。十多年來，IBM通過有機增長和對外收購兩種方式穩(wěn)步投資移動領域，由此建立了完整全面的軟件和服務產品線，進而為客戶提供企業(yè)級移動能力。

IBM Security AppScan將于2012年第二季度全面上市。