Tạo các ứng dụng bảo mật Java một cách hiệu quả, Phần 2 docx

Tạo các ứng dụng bảo mật Java một cách hiệu quả, Phần 2

Tối đa hóa bảo mật trong ứng dụng Web Java với Rational AppScan

David Whitelegg, Tác giả, Freelance Writer

Tóm tắt: Đây là phần thứ hai trong loạt bài hướng dẫn gồm hai phần viết về việc

tạo các ứng dụng Web bảo mật dựa trên Java® sử dụng Rational® Application

Developer, Data Studio và Rational AppScan. Trong Phần 1 bạn đã phát triển một

ứng dụng Web Java với Rational Application Developer, và sau đó mới triển khai

ứng dụng trên WebSphere Application Server với Java Server Pages (JSP). Bài

hướng dẫn này chỉ cho bạn biết cách quét ứng dụng Wealth được tạo ra trong Phần

1 có sử dụng Rational AppScan để tìm và sửa tất cả khiếm khuyết bảo mật Web đã

biết. Bài viết này cũng chỉ cách quét lại ứng dụng của bạn và tạo ra các báo cáo.

Trước khi bắt đầu

Bài hướng dẫn này chủ yếu dành cho các nhà phát triển ứng dụng Web, các nhà

kiểm tra ứng dụng Web, các đội bảo đảm chất lượng, các chuyên gia bảo mật

thông tin và bất kỳ ai mong muốn các ứng dụng Web của mình không mắc các

khiếm khuyết bảo mật đã biết. Bài viết này sẽ trình bày cách làm thế nào để đạt

được mục tiêu này có sử dụng IBM Rational AppScan.

Về loạt bài này

Loạt bài gồm hai phần này có mục đích là nhằm mở rộng các kỹ năng phát triển

ứng dụng Web của bạn thông qua việc sử dụng Rational Application Developer,

Data Studio và Rational AppScan.

 Phần 1 sử dụng các khả năng IDE của Rational Application Developer và

các tính năng pureQuery của Data Studio để tạo ra một ứng dụng Web quản

lý tài sản dựa trên Java một cách hiệu quả.

 Trong Phần 2, bạn sẽ tận dụng rất nhiều tính năng Rational AppScan có sẵn

để củng cố, hoặc bảo mật, ứng dụng Java bằng cách tìm ra các khiếm

khuyết và sửa chúng sao cho bạn có thể tự tin triển khai ứng dụng Web của

bạn.

Về bài hướng dẫn này

Bài hướng dẫn này sẽ chỉ cho bạn cách cài đặt, cấu hình và sử dụng Rational

AppScan để quét ứng dụng Wealth Java Web đã được tạo ra trong Phần 1(Xem

Tài nguyên). Bạn sẽ sử dụng các lần quét Rational AppScan để bảo đảm là ứng

dụng Web của bạn không có các khiếm khuyết bảo mật Web. Theo đó bạn sẽ học

được cách làm thể nào để đạt được nhiều nhất ngoài Rational AppScan, bao gồm:

 Chiến lược triển khai

 Tùy chỉnh một mẫu quét

 Tiến hành quét

 Phiên dịch và học hỏi từ các kết quả quét

 Tạo ra các báo cáo quét

 Sử dụng các mở rộng Rational AppScan

Bài hướng dẫn này mở đầu bằng một đoạn khái quát về bảo mật ứng dụng Web.

Đoạn khái quát này giải thích tầm quan trọng của việc sử dụng Rational AppScan,

để bảo đảm sẽ loại bỏ các khiếm khuyết bảo mật Web trong quá trình phát triển

ứng dụng của ứng dụng Web đối diện công cộng. Cũng có một đoạn khái quát về

việc triển khai Rational AppScan và các xem xét cấp quyền nhằm giúp bạn gặt hái

được nhiều nhất ngoài việc sử dụng Rational AppScan.

Các yêu cầu về hệ thống

Để hoàn thành các bước trong bài hướng dẫn này, bạn cần có:

 Một bản IBM Rational AppScan Standard Edition (Ấn phẩm Tiêu Chuẩn

Rational AppScan của IBM). Một cấp quyền Rational AppSca đầy đủ hoặc

tạm thời. Phiên bản dùng thử tải xuống được của Rational AppScan chỉ cho

phép quét một địa chỉ Web mặc định. Bạn có thể xin giấy phép sử dụng

Rational AppScan ngắn hạn tạm thời từ đầu mối liên lạc IBM Rational

Sales của bạn.

 Một chiếc máy tính xách tay có khả năng kết nối mạng với máy chủ/máy

trạm có ứng dụng của bài 1.

Rational AppScan và khái quát bảo mật ứng dụng Web

Trong đoạn này, chúng ta sẽ quan sát trạng thái của bảo mật ứng dụng Web trên

Internet nói chung, và vai trò của Rational AppScan trong việc làm cho các ứng

dụng Web an toàn hơn.