IBM Rational AppScan

Продукт
Название базовой системы (платформы): IBM Rational
Разработчики: HCL Technologies
Дата премьеры системы: декабрь 2010 года
Технологии: ИБ - Антивирусы,  ИБ - Антиспам,  ИБ - Аутентификация,  ИБ - Межсетевые экраны,  ИБ - Предотвращения утечек информации,  Средства разработки приложений

2018: IBM продала Appscan

В первой половине 2019 г. компания HCL Technologies станет полноправным владельцем продуктов Appscan, BigFix, Unica, Commerce, Portal, Connections, ориентированных на рынки электронной коммерции и человеческих ресурсов. Подробнее здесь.

2010: Расширения продуктового портфеля IBM Rational AppScan

Программное обеспечение и аналитические возможности, позволяющие с большей точностью и эффективностью помогать организациям в проектировании, создании и управлении защищенными приложениями. Решение консолидирует возможности выявления уязвимостей ПО и подготовки отчетности в исчерпывающее информационное представление, единое в масштабе предприятия. Разработчики могут теперь оценивать угрозы безопасности в течение полного жизненного цикла разработки своих программ, что позволяет глобально распределенным командам разработчиков тестировать приложения и с легкостью выявлять уязвимости безопасности, и, в итоге, снижать риски и издержки, связанные с безопасностью ПО и соблюдением соответствующих регуляционных норм.

Так, организации могут использовать программное обеспечение для автоматизации процессов аудита безопасности приложений и исследования исходного кода в целях гарантии, что сетевые и Web-ориентированные приложения соответствуют требованиям по безопасности. Все это обеспечивает более тщательную проверку приложений на наличие уязвзимостей безопасности и устранение найденных ошибок.

На декабрь 2010 года предложения IBM в области безопасности программного обеспечения включают расширения портфеля IBM Rational AppScan, что дополнительно упрощает разработчикам анализ и выявление уязвимостей своих программных продуктов. Как часть новых функций, исследовательское подразделение IBM Research предоставило методику строчного анализа (string analysis) – возможность, которая помогает облегчить процесс тестирования ПО на безопасность через автоматическую проверку и определение того, какие опции ввода данных в Web-приложениях нуждаются в корректировке для уменьшения или устранения рисков безопасности. Эта возможность помогает улучшить эффективность и точность тестирования приложений на безопасность для всего сообщества разработчиков, независимо от их квалификации в области защиты ПО.

Согласно отчету IBM X-Force Trend Report, опубликованному в середине этого года, 55% всех выявленных уязвимостей приходится на Web-приложения, что делает эту категорию программного обеспечения главным источником риска для организаций. В отчете отмечается, что угрозы ИТ-безопасности выросли на 36% за первую половину 2010 года, о чем свидетельствуют свыше 4000 новых выявленных уязвимостей по сравнению с прошлым годом.

Упрощение задачи достижения сквозной безопасности программных приложений

Web-приложения зачастую уязвимы из-за отсутствия встроенной внутренней системы безопасности. Для уменьшения этого риска организациям нужно внедрять стратегии безопасности, которые гарантируют, что приложения проектировались с учетом требований по безопасности в течение всего жизненного цикла разработки, от начала и до завершения.

Возможности для укрепления безопасности

Расширения портфеля IBM Rational AppScan упрощают и автоматизируют процесс сканирования программ для выявления уязвимостей и предлагают новые возможности гибридного анализа, улучшая процесс поиска и устранения угроз. Гибридный анализ обеспечивает автоматическое согласование результатов статического анализа исходного программного кода и динамического анализа для более эффективного выявления уязвимостей в автоматически выполняемых приложениях.

В целом расширения продуктового портфеля IBM Rational AppScan включают:

  • Консолидированное представление уязвимостей — Функция Hybrid Analysis Reporting осуществляет автоматическое согласование результатов статического анализа программного кода и динамического анализа, и повышает точность итоговых аналитических результатов, предоставляемых разработчикам для устранения уязвимостей. Такая прозрачность расширяет возможности пакета Rational AppScan Enterprise Edition и позволяет организациям применять стратегический подход к обеспечению безопасности Web-приложений. Кроме того, команды разработчиков получают исчерпывающее представление о рисках, связанных с соблюдением регуляционных норм по безопасности. Автоматическое согласование результатов анализа изначально реализовано для платформы Java.
  • Сканирование с расширенным доступом, которое выявляет скрытые для проверки области — Функционал сканирования с гибридным анализом позволяет осуществлять в процессе тестирования приложения синхронный статический анализ исходного кода и динамический анализ для более тщательного выявления уязвимостей, чем это было возможно ранее. Данный функционал, реализованный в виде расширения Rational AppScan Standard Edition, поддерживает JavaScript и предоставляет доступ к областям сканирования, которые раньше были скрытыми для контроля.
  • Упрощенный процесс оценки состояния безопасности — Метод строчного анализа, являясь ключевым расширением пакета Rational AppScan Source Edition, призван способствовать признанию и распространению передовой практики тестирования безопасности приложений среди сообщества разработчиков. Строчный анализ упрощает процесс тестирования безопасности путем автоматической проверки и определения того, какие области программного кода, реализующие пользовательский ввод данных в Web-приложениях, следует подкорректировать для уменьшения или устранения рисков безопасности. Эта способность облегчить процесс оценки безопасности позволяет оптимизировать и повысить точность тестирования исходного кода, давая командам разработчиков возможность поставлять надежно защищенные приложения в условиях жестко ограниченных сроков.
  • Поддержку многообразия рамочных инфраструктур — Еще одной инновацией портфеля Rational AppScan Source Edition является «расширяемая рамочная инфраструктура приложений» (Extensible Application Framework), которая распространяет повышенный уровень прозрачности и возможность анализа потоков данных на коммерческие, открытые и специально разработанные в организациях рамочные инфраструктуры Web-приложений. Способность поддерживать любую существующую или специально сконфигурированную рамочную инфраструктуру приложений критически важна для контроля безошибочности программного кода, а также показателя «степени компенсации» (влияния ошибок и неточностей).
  • Наряду с этими нововведениями, IBM также сообщила о поддержке в программных продуктах портфеля IBM Rational федерального стандарта безопасности CAC/PKI. Протокол CAC/PKI расширяет возможности правительства по глобальному предотвращению несанкционированного доступа к физическим и цифровым средам, который может отрицательно повлиять на безопасность военных и национальных инициатив. IBM предоставляет широкий спектр услуг по детальному проектированию, разработке и внедрению прикладных решений для смарт-карт/биометрических систем и практических реализаций CAC/PKI – как часть своих усилий по обеспечению поддержки стандартов в области информационной безопасности в течение полного жизненного цикла разработки и использования программных приложений.

Решения IBM Security Solutions представляют обширный портфель аппаратных средств, программных продуктов, профессиональных услуг и услуг управления, которые охватывают весь спектр рисков безопасности информационных технологий и бизнеса, включая людей с их идентификационными данными, информацию, приложения и процессы, сети, серверы и другую логическую и физическую инфраструктуру. Предложения IBM Security Solutions дают клиентам широкие возможности для внедрения инноваций и осуществления своих бизнес-операций на базе надежно защищенных инфраструктурных платформ.



СМ. ТАКЖЕ (7)


Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (144)
  ESET (ИСЕТ Софтвеа) (65)
  Инфосистемы Джет (64)
  ДиалогНаука (56)
  Информзащита (41)
  Другие (1203)

  Смарт-Софт (Smart-Soft) (5)
  Card Security (Кард Сек) (4)
  R-Vision (Р-Вижн) (4)
  Softline (Софтлайн) (4)
  Национальный аттестационный центр (НАЦ) (4)
  Другие (72)

  Солар (ранее Ростелеком-Солар) (8)
  А-Реал Консалтинг (6)
  Softline (Софтлайн) (3)
  Аксофт (Axoft) (2)
  Deiteriy (Дейтерий) (2)
  Другие (55)

  Инфосистемы Джет (6)
  UserGate, Юзергейт (ранее Entensys) (5)
  Уральский центр систем безопасности (УЦСБ) (4)
  Национальный аттестационный центр (НАЦ) (3)
  Compliance Control (Комплаенс контрол) (3)
  Другие (55)

  Positive Technologies (Позитив Текнолоджиз) (5)
  Уральский центр систем безопасности (УЦСБ) (5)
  ИВК (4)
  Инфосистемы Джет (4)
  А-Реал Консалтинг (3)
  Другие (55)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (22, 170)
  ESET (ИСЕТ Софтвеа) (11, 79)
  Positive Technologies (Позитив Текнолоджиз) (13, 68)
  Смарт-Софт (Smart-Soft) (5, 47)
  Доктор Веб (Dr.Web) (7, 45)
  Другие (720, 500)

  Смарт-Софт (Smart-Soft) (1, 5)
  R-Vision (Р-Вижн) (1, 4)
  Positive Technologies (Позитив Текнолоджиз) (2, 3)
  Trend Micro (2, 3)
  Ngenix (Современные сетевые технологии, ССТ) (2, 3)
  Другие (13, 12)

  Солар (ранее Ростелеком-Солар) (3, 7)
  А-Реал Консалтинг (3, 6)
  Positive Technologies (Позитив Текнолоджиз) (3, 4)
  Лаборатория Касперского (Kaspersky) (2, 4)
  SolidSoft (СолидСофт) (1, 1)
  Другие (12, 12)

  UserGate, Юзергейт (ранее Entensys) (3, 8)
  Лаборатория Касперского (Kaspersky) (1, 3)
  Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
  А-Реал Консалтинг (1, 2)
  ИнфоТеКС (Infotecs) (1, 1)
  Другие (6, 6)

  UserGate, Юзергейт (ранее Entensys) (6, 9)
  Positive Technologies (Позитив Текнолоджиз) (4, 5)
  ИВК (1, 4)
  А-Реал Консалтинг (2, 3)
  Вебмониторэкс (ранее WebmonitorX) (1, 2)
  Другие (7, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Kaspersky Endpoint Security - 82 (82, 0)
  ESET NOD32 Business Edition - 51 (51, 0)
  Dr.Web антивирус - 48 (12, 36)
  MaxPatrol SIEM - 35 (33, 2)
  Kaspersky Enterprise Space Security - 34 (34, 0)
  Другие 569

  Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  FortiOS - 2 (0, 2)
  StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
  Ngenix Облачная платформа - 2 (2, 0)
  Другие 12

  Solar MSS - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Solar JSOC - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 19

  UserGate UTM - 4 (4, 0)
  UserGate C-серия Межсетевые экраны - 3 (3, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0)
  Другие 7

  ИВК Кольчуга - 4 (4, 0)
  А-Реал Консалтинг: Межсетевой экран ИКС - 3 (3, 0)
  UserGate UTM - 3 (3, 0)
  StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
  MaxPatrol SIEM - 2 (2, 0)
  Другие 19

Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Softline (Софтлайн) (203)
  ESET (ИСЕТ Софтвеа) (118)
  Лаборатория Касперского (Kaspersky) (78)
  Инфосистемы Джет (55)
  ДиалогНаука (51)
  Другие (900)

  Национальный аттестационный центр (НАЦ) (4)
  R-Vision (Р-Вижн) (4)
  Card Security (Кард Сек) (4)
  Инфосистемы Джет (3)
  Softline (Софтлайн) (3)
  Другие (53)

  А-Реал Консалтинг (3)
  Информзащита (2)
  Лаборатория Касперского (Kaspersky) (2)
  TUV Austria (2)
  Wone IT (Ван Ай Ти Трейд, ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
  Другие (40)

  Инфосистемы Джет (6)
  Уральский центр систем безопасности (УЦСБ) (4)
  Inspect (3)
  МСС Международная служба сертификации (3)
  Национальный аттестационный центр (НАЦ) (3)
  Другие (41)

  Уральский центр систем безопасности (УЦСБ) (5)
  Инфосистемы Джет (4)
  МСС Международная служба сертификации (2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (2)
  Deiteriy (Дейтерий) (1)
  Другие (37)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Лаборатория Касперского (Kaspersky) (42, 368)
  ESET (ИСЕТ Софтвеа) (21, 141)
  Доктор Веб (Dr.Web) (17, 61)
  UserGate, Юзергейт (ранее Entensys) (3, 19)
  Fortinet (11, 15)
  Другие (368, 140)

  R-Vision (Р-Вижн) (1, 4)
  Trend Micro (2, 3)
  Лаборатория Касперского (Kaspersky) (2, 3)
  Fortinet (2, 1)
  Ростелеком (1, 1)
  Другие (3, 3)

  Лаборатория Касперского (Kaspersky) (4, 5)
  А-Реал Консалтинг (1, 3)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  UserGate, Юзергейт (ранее Entensys) (1, 1)
  R-Vision (Р-Вижн) (1, 1)
  Другие (1, 1)

  Лаборатория Касперского (Kaspersky) (2, 4)
  UserGate, Юзергейт (ранее Entensys) (1, 4)
  CloudLinux (1, 1)
  F.A.C.C.T. (ранее Group-IB в России) (1, 1)
  Другие (0, 0)

  UserGate, Юзергейт (ранее Entensys) (1, 3)
  Лаборатория Касперского (Kaspersky) (2, 2)
  BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
  Другие (0, 0)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  ESET NOD32 - 140 (26, 114)
  Kaspersky Business Space Security - 87 (87, 0)
  Kaspersky Endpoint Security - 82 (82, 0)
  Kaspersky Security - 81 (81, 0)
  Dr.Web антивирус - 62 (12, 50)
  Другие 127

  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 2 (2, 0)
  Trend Micro: Deep Discovery - 2 (2, 0)
  Kaspersky Total Security - 1 (1, 0)
  Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1 (1, 0)
  Другие 4

  Kaspersky Endpoint Security - 3 (3, 0)
  А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
  R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1 (1, 0)
  Kaspersky Industrial CyberSecurity (KICS) - 1 (1, 0)
  Kaspersky IoT Secure Gateway - 1 (1, 0)
  Другие 2

  UserGate UTM - 4 (4, 0)
  Kaspersky Endpoint Security - 3 (3, 0)
  Kaspersky Security - 2 (2, 0)
  CloudLinux Imunify360 - 1 (1, 0)
  Другие 0

  UserGate UTM - 3 (3, 0)
  Kaspersky Antivirus - 1 (1, 0)
  BI.Zone CESP (Cloud Email Security & Protection) - 1 (1, 0)
  Другие 0