IBM Rational AppScan

2018: IBM продала Appscan

В первой половине 2019 г. компания HCL Technologies станет полноправным владельцем продуктов Appscan, BigFix, Unica, Commerce, Portal, Connections, ориентированных на рынки электронной коммерции и человеческих ресурсов. Подробнее здесь.

2010: Расширения продуктового портфеля IBM Rational AppScan

Программное обеспечение и аналитические возможности, позволяющие с большей точностью и эффективностью помогать организациям в проектировании, создании и управлении защищенными приложениями. Решение консолидирует возможности выявления уязвимостей ПО и подготовки отчетности в исчерпывающее информационное представление, единое в масштабе предприятия. Разработчики могут теперь оценивать угрозы безопасности в течение полного жизненного цикла разработки своих программ, что позволяет глобально распределенным командам разработчиков тестировать приложения и с легкостью выявлять уязвимости безопасности, и, в итоге, снижать риски и издержки, связанные с безопасностью ПО и соблюдением соответствующих регуляционных норм.

Так, организации могут использовать программное обеспечение для автоматизации процессов аудита безопасности приложений и исследования исходного кода в целях гарантии, что сетевые и Web-ориентированные приложения соответствуют требованиям по безопасности. Все это обеспечивает более тщательную проверку приложений на наличие уязвзимостей безопасности и устранение найденных ошибок.

На декабрь 2010 года предложения IBM в области безопасности программного обеспечения включают расширения портфеля IBM Rational AppScan, что дополнительно упрощает разработчикам анализ и выявление уязвимостей своих программных продуктов. Как часть новых функций, исследовательское подразделение IBM Research предоставило методику строчного анализа (string analysis) – возможность, которая помогает облегчить процесс тестирования ПО на безопасность через автоматическую проверку и определение того, какие опции ввода данных в Web-приложениях нуждаются в корректировке для уменьшения или устранения рисков безопасности. Эта возможность помогает улучшить эффективность и точность тестирования приложений на безопасность для всего сообщества разработчиков, независимо от их квалификации в области защиты ПО.

Согласно отчету IBM X-Force Trend Report, опубликованному в середине этого года, 55% всех выявленных уязвимостей приходится на Web-приложения, что делает эту категорию программного обеспечения главным источником риска для организаций. В отчете отмечается, что угрозы ИТ-безопасности выросли на 36% за первую половину 2010 года, о чем свидетельствуют свыше 4000 новых выявленных уязвимостей по сравнению с прошлым годом.Михаил Белошапка, «Далее»: Тенденция укрупнения IT-рынка продолжится 5.2 т

Упрощение задачи достижения сквозной безопасности программных приложений

Web-приложения зачастую уязвимы из-за отсутствия встроенной внутренней системы безопасности. Для уменьшения этого риска организациям нужно внедрять стратегии безопасности, которые гарантируют, что приложения проектировались с учетом требований по безопасности в течение всего жизненного цикла разработки, от начала и до завершения.

Возможности для укрепления безопасности

Расширения портфеля IBM Rational AppScan упрощают и автоматизируют процесс сканирования программ для выявления уязвимостей и предлагают новые возможности гибридного анализа, улучшая процесс поиска и устранения угроз. Гибридный анализ обеспечивает автоматическое согласование результатов статического анализа исходного программного кода и динамического анализа для более эффективного выявления уязвимостей в автоматически выполняемых приложениях.

В целом расширения продуктового портфеля IBM Rational AppScan включают:

• Консолидированное представление уязвимостей — Функция Hybrid Analysis Reporting осуществляет автоматическое согласование результатов статического анализа программного кода и динамического анализа, и повышает точность итоговых аналитических результатов, предоставляемых разработчикам для устранения уязвимостей. Такая прозрачность расширяет возможности пакета Rational AppScan Enterprise Edition и позволяет организациям применять стратегический подход к обеспечению безопасности Web-приложений. Кроме того, команды разработчиков получают исчерпывающее представление о рисках, связанных с соблюдением регуляционных норм по безопасности. Автоматическое согласование результатов анализа изначально реализовано для платформы Java.
• Сканирование с расширенным доступом, которое выявляет скрытые для проверки области — Функционал сканирования с гибридным анализом позволяет осуществлять в процессе тестирования приложения синхронный статический анализ исходного кода и динамический анализ для более тщательного выявления уязвимостей, чем это было возможно ранее. Данный функционал, реализованный в виде расширения Rational AppScan Standard Edition, поддерживает JavaScript и предоставляет доступ к областям сканирования, которые раньше были скрытыми для контроля.
• Упрощенный процесс оценки состояния безопасности — Метод строчного анализа, являясь ключевым расширением пакета Rational AppScan Source Edition, призван способствовать признанию и распространению передовой практики тестирования безопасности приложений среди сообщества разработчиков. Строчный анализ упрощает процесс тестирования безопасности путем автоматической проверки и определения того, какие области программного кода, реализующие пользовательский ввод данных в Web-приложениях, следует подкорректировать для уменьшения или устранения рисков безопасности. Эта способность облегчить процесс оценки безопасности позволяет оптимизировать и повысить точность тестирования исходного кода, давая командам разработчиков возможность поставлять надежно защищенные приложения в условиях жестко ограниченных сроков.
• Поддержку многообразия рамочных инфраструктур — Еще одной инновацией портфеля Rational AppScan Source Edition является «расширяемая рамочная инфраструктура приложений» (Extensible Application Framework), которая распространяет повышенный уровень прозрачности и возможность анализа потоков данных на коммерческие, открытые и специально разработанные в организациях рамочные инфраструктуры Web-приложений. Способность поддерживать любую существующую или специально сконфигурированную рамочную инфраструктуру приложений критически важна для контроля безошибочности программного кода, а также показателя «степени компенсации» (влияния ошибок и неточностей).
• Наряду с этими нововведениями, IBM также сообщила о поддержке в программных продуктах портфеля IBM Rational федерального стандарта безопасности CAC/PKI. Протокол CAC/PKI расширяет возможности правительства по глобальному предотвращению несанкционированного доступа к физическим и цифровым средам, который может отрицательно повлиять на безопасность военных и национальных инициатив. IBM предоставляет широкий спектр услуг по детальному проектированию, разработке и внедрению прикладных решений для смарт-карт/биометрических систем и практических реализаций CAC/PKI – как часть своих усилий по обеспечению поддержки стандартов в области информационной безопасности в течение полного жизненного цикла разработки и использования программных приложений.

Решения IBM Security Solutions представляют обширный портфель аппаратных средств, программных продуктов, профессиональных услуг и услуг управления, которые охватывают весь спектр рисков безопасности информационных технологий и бизнеса, включая людей с их идентификационными данными, информацию, приложения и процессы, сети, серверы и другую логическую и физическую инфраструктуру. Предложения IBM Security Solutions дают клиентам широкие возможности для внедрения инноваций и осуществления своих бизнес-операций на базе надежно защищенных инфраструктурных платформ.