Pontos Fortes e Fracos da Ferramenta IBM Rational AppScan

IBM Rational AppScan
Pontos Fortes	Pontos Fracos
Quantidade de testes realizados é bem grande, pro mesmo problema faz o mesmo teste de n formas (impossível de uma pessoa comum realizar tantos testes).	Necessidade de bons conhecimentos na ferramenta. Não é tão simples como se pensava.
A ferramenta sempre tem atualizações.	A ferramenta não consegue entender a lógica de negocio da Aplicação, é necessário ajustar a ferramenta.
A ferramenta é bem eficiente.	O SQL Injection não me traz um resultado real de uma invasão,  necessário confirmar manualmente os resultados.
Possibilidades de Adicionar Extensões, tem API pra serem utilizadas por outros programas.	É necessário, bons conhecimento em segurança, para interpretar os dados da ferramenta, sendo assim poder analisar um possível falso-positivo.
Gera relatórios personalizados.	A ferramenta não cobre outras camadas sem ser aplicação.
Segue os Padrões de Industrias tanto no scaneamento como na geração dos relatórios, ex. Owasp.	A opção de teste manual é muito simplória,  poderia sem bem melhor, como outras ferramentas de testes manuais. Ex. burp, webscab, tamper data.
Tem um bom nível de maturidade.	A ferramenta deveria ter um proxy,  que me mostra-se a requisição enviada.
Com o test Policy posso definir o tipo de teste que desejo. Ex. só tipos High.	A ferramenta não dá a opção de adicionar um novo teste ou um script de segurança.
Posso Excluir ou Adicionar o projeto que desejo executar.	A ferramenta não roda com uma aplicação em local host.
Ferramenta tem uma interface amigável.	A ferramenta deveria ter um site com todas as vulnerabilidades encontradas,  detalhando cada uma, um repositório atualizado constantemente.
A Ferramenta é complemento essencial ao testes de Segura, pela diversidade de testes realizados, engloba todos os testes do top 10 da owasp.	O "Scan Log" poderia ser mais detalhado, poderia colocar em que link deu erro, a requisição enviada e a opção de abrir no browser.
A ferramenta explica com detalhes todos os erros encontrados e dá n dicas de como corrigir o problema.	Em Request/Response a opção "Show in Browser",  poderia ser definido em que browser posso abrir, Firefox, IE, Chomo.
Ao realizar um exploração de um site automático, depois de terminar, você tem a opção de realizar uma exploração manual, tudo que a ferramenta não pegou no automático vai ser adicionado no manual.	A AppScan poderia fazer alguns relatórios dinâmicos no Excel,  com o tipo de venerabilidade, link,  prioridade (alta, media, baixa, informal),  a fase (encontrado, corrigido, em correção).
Usando o Scan Expert, a ferramenta te sugere melhoria para a execução dos testes a seram realizados.	Poderia ser adicionado uns vídeos, detalhado junto com o Help da ferramenta,  seria ótimo pro usuários final.
O Login Management é muito bom pra identificar pontos de in-session e session.	Poderia ter uma opção de mudar de idioma dentro da ferramenta,  principalmente o Help.
A ferramenta dá a opção de criar um template com todas as configurações pré-definidas.
O Help da ferramenta é bem explicativo.
Você tem a opção de setar um erro como "Non-vulnerable", nos casos de falsos-positivos, isso é muito bom.