Название базовой системы (платформы): | IBM Rational |
Разработчики: | HCL Technologies |
Дата премьеры системы: | декабрь 2010 года |
Технологии: | ИБ - Антивирусы, ИБ - Антиспам, ИБ - Аутентификация, ИБ - Межсетевые экраны, ИБ - Предотвращения утечек информации, Средства разработки приложений |
2018: IBM продала Appscan
В первой половине 2019 г. компания HCL Technologies станет полноправным владельцем продуктов Appscan, BigFix, Unica, Commerce, Portal, Connections, ориентированных на рынки электронной коммерции и человеческих ресурсов. Подробнее здесь.
2010: Расширения продуктового портфеля IBM Rational AppScan
Программное обеспечение и аналитические возможности, позволяющие с большей точностью и эффективностью помогать организациям в проектировании, создании и управлении защищенными приложениями. Решение консолидирует возможности выявления уязвимостей ПО и подготовки отчетности в исчерпывающее информационное представление, единое в масштабе предприятия. Разработчики могут теперь оценивать угрозы безопасности в течение полного жизненного цикла разработки своих программ, что позволяет глобально распределенным командам разработчиков тестировать приложения и с легкостью выявлять уязвимости безопасности, и, в итоге, снижать риски и издержки, связанные с безопасностью ПО и соблюдением соответствующих регуляционных норм.
Так, организации могут использовать программное обеспечение для автоматизации процессов аудита безопасности приложений и исследования исходного кода в целях гарантии, что сетевые и Web-ориентированные приложения соответствуют требованиям по безопасности. Все это обеспечивает более тщательную проверку приложений на наличие уязвзимостей безопасности и устранение найденных ошибок.
На декабрь 2010 года предложения IBM в области безопасности программного обеспечения включают расширения портфеля IBM Rational AppScan, что дополнительно упрощает разработчикам анализ и выявление уязвимостей своих программных продуктов. Как часть новых функций, исследовательское подразделение IBM Research предоставило методику строчного анализа (string analysis) – возможность, которая помогает облегчить процесс тестирования ПО на безопасность через автоматическую проверку и определение того, какие опции ввода данных в Web-приложениях нуждаются в корректировке для уменьшения или устранения рисков безопасности. Эта возможность помогает улучшить эффективность и точность тестирования приложений на безопасность для всего сообщества разработчиков, независимо от их квалификации в области защиты ПО.
Согласно отчету IBM X-Force Trend Report, опубликованному в середине этого года, 55% всех выявленных уязвимостей приходится на Web-приложения, что делает эту категорию программного обеспечения главным источником риска для организаций. В отчете отмечается, что угрозы ИТ-безопасности выросли на 36% за первую половину 2010 года, о чем свидетельствуют свыше 4000 новых выявленных уязвимостей по сравнению с прошлым годом.«Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Упрощение задачи достижения сквозной безопасности программных приложений
Web-приложения зачастую уязвимы из-за отсутствия встроенной внутренней системы безопасности. Для уменьшения этого риска организациям нужно внедрять стратегии безопасности, которые гарантируют, что приложения проектировались с учетом требований по безопасности в течение всего жизненного цикла разработки, от начала и до завершения.
Возможности для укрепления безопасности
Расширения портфеля IBM Rational AppScan упрощают и автоматизируют процесс сканирования программ для выявления уязвимостей и предлагают новые возможности гибридного анализа, улучшая процесс поиска и устранения угроз. Гибридный анализ обеспечивает автоматическое согласование результатов статического анализа исходного программного кода и динамического анализа для более эффективного выявления уязвимостей в автоматически выполняемых приложениях.
В целом расширения продуктового портфеля IBM Rational AppScan включают:
- Консолидированное представление уязвимостей — Функция Hybrid Analysis Reporting осуществляет автоматическое согласование результатов статического анализа программного кода и динамического анализа, и повышает точность итоговых аналитических результатов, предоставляемых разработчикам для устранения уязвимостей. Такая прозрачность расширяет возможности пакета Rational AppScan Enterprise Edition и позволяет организациям применять стратегический подход к обеспечению безопасности Web-приложений. Кроме того, команды разработчиков получают исчерпывающее представление о рисках, связанных с соблюдением регуляционных норм по безопасности. Автоматическое согласование результатов анализа изначально реализовано для платформы Java.
- Сканирование с расширенным доступом, которое выявляет скрытые для проверки области — Функционал сканирования с гибридным анализом позволяет осуществлять в процессе тестирования приложения синхронный статический анализ исходного кода и динамический анализ для более тщательного выявления уязвимостей, чем это было возможно ранее. Данный функционал, реализованный в виде расширения Rational AppScan Standard Edition, поддерживает JavaScript и предоставляет доступ к областям сканирования, которые раньше были скрытыми для контроля.
- Упрощенный процесс оценки состояния безопасности — Метод строчного анализа, являясь ключевым расширением пакета Rational AppScan Source Edition, призван способствовать признанию и распространению передовой практики тестирования безопасности приложений среди сообщества разработчиков. Строчный анализ упрощает процесс тестирования безопасности путем автоматической проверки и определения того, какие области программного кода, реализующие пользовательский ввод данных в Web-приложениях, следует подкорректировать для уменьшения или устранения рисков безопасности. Эта способность облегчить процесс оценки безопасности позволяет оптимизировать и повысить точность тестирования исходного кода, давая командам разработчиков возможность поставлять надежно защищенные приложения в условиях жестко ограниченных сроков.
- Поддержку многообразия рамочных инфраструктур — Еще одной инновацией портфеля Rational AppScan Source Edition является «расширяемая рамочная инфраструктура приложений» (Extensible Application Framework), которая распространяет повышенный уровень прозрачности и возможность анализа потоков данных на коммерческие, открытые и специально разработанные в организациях рамочные инфраструктуры Web-приложений. Способность поддерживать любую существующую или специально сконфигурированную рамочную инфраструктуру приложений критически важна для контроля безошибочности программного кода, а также показателя «степени компенсации» (влияния ошибок и неточностей).
- Наряду с этими нововведениями, IBM также сообщила о поддержке в программных продуктах портфеля IBM Rational федерального стандарта безопасности CAC/PKI. Протокол CAC/PKI расширяет возможности правительства по глобальному предотвращению несанкционированного доступа к физическим и цифровым средам, который может отрицательно повлиять на безопасность военных и национальных инициатив. IBM предоставляет широкий спектр услуг по детальному проектированию, разработке и внедрению прикладных решений для смарт-карт/биометрических систем и практических реализаций CAC/PKI – как часть своих усилий по обеспечению поддержки стандартов в области информационной безопасности в течение полного жизненного цикла разработки и использования программных приложений.
Решения IBM Security Solutions представляют обширный портфель аппаратных средств, программных продуктов, профессиональных услуг и услуг управления, которые охватывают весь спектр рисков безопасности информационных технологий и бизнеса, включая людей с их идентификационными данными, информацию, приложения и процессы, сети, серверы и другую логическую и физическую инфраструктуру. Предложения IBM Security Solutions дают клиентам широкие возможности для внедрения инноваций и осуществления своих бизнес-операций на базе надежно защищенных инфраструктурных платформ.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (40)
Другие (1190)
Смарт-Софт (Smart-Soft) (5)
Softline (Софтлайн) (4)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
Информзащита (2)
Positive Technologies (Позитив Текнолоджиз) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (715, 493)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
SolidSoft (СолидСофт) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
ИнфоТеКС (Infotecs) (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
X-Labs (Икс Лабз) (1, 1)
Код Безопасности (1, 1)
Другие (4, 4)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 665
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (203)
ESET (ИСЕТ Софтвеа) (118)
Лаборатория Касперского (Kaspersky) (77)
Инфосистемы Джет (55)
ДиалогНаука (51)
Другие (893)
R-Vision (Р-Вижн) (4)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Инфосистемы Джет (3)
Softline (Софтлайн) (3)
Другие (53)
А-Реал Консалтинг (3)
TUV Austria (2)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (2)
Национальный аттестационный центр (НАЦ) (2)
BI.Zone (Безопасная Информационная Зона, Бизон) (2)
Другие (40)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (42, 366)
ESET (ИСЕТ Софтвеа) (21, 141)
Доктор Веб (Dr.Web) (17, 61)
UserGate, Юзергейт (ранее Entensys) (3, 19)
Fortinet (11, 15)
Другие (365, 140)
R-Vision (Р-Вижн) (1, 4)
Trend Micro (2, 3)
Лаборатория Касперского (Kaspersky) (2, 3)
Fortinet (2, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (3, 3)
Лаборатория Касперского (Kaspersky) (4, 5)
А-Реал Консалтинг (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
UserGate, Юзергейт (ранее Entensys) (1, 1)
R-Vision (Р-Вижн) (1, 1)
Другие (1, 1)
Лаборатория Касперского (Kaspersky) (2, 4)
UserGate, Юзергейт (ранее Entensys) (1, 4)
CloudLinux (1, 1)
F.A.C.C.T. (ранее Group-IB в России) (1, 1)
Другие (0, 0)
UserGate, Юзергейт (ранее Entensys) (1, 3)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Лаборатория Касперского (Kaspersky) (1, 1)
Другие (0, 0)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Business Space Security - 87
Kaspersky Endpoint Security - 81
Kaspersky Security - 81
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Другие 432
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Kaspersky Industrial CyberSecurity (KICS) - 2
Trend Micro: Deep Discovery - 2
Group-IB Threat Hunting Framework (ранее Threat Detection Service, TDS) - 1
FortiGate - 1
Другие 5
Kaspersky Endpoint Security - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Kaspersky Industrial CyberSecurity (KICS) - 1
Kaspersky ASAP Automated Security Awareness Platform - 1
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 1
Другие 3