HCL AppScan

HCL AppScan (ранее IBM Security AppScan) – это поставщик инструментов тестирования безопасности приложений, которые помогают издателям программного обеспечения обнаруживать и устранять уязвимости, а также соблюдать нормативные требования и передовые методы обеспечения безопасности. Его мощные механизмы статического и динамического сканирования могут применяться на всех этапах жизненного цикла разработки и тестировать веб-приложения, API и мобильные приложения.

Решение подразделяется на следующие типы – HCL AppScan Enterprise, HCL AppScan Standard, HCL AppScan Source, HCL AppScan Cloud.

HCL AppScan Enterprise – Выполняйте крупномасштабное сканирование приложений, устраняйте уязвимости и добивайтесь соответствия нормативным требованиям.

Основной функционал:

• Масштабируемое тестирование безопасности приложений – Масштабируемое корпоративное решение позволяет организациям управлять своей программой безопасности приложений для всех своих приложений. Команды безопасности и разработки могут сотрудничать, устанавливать политики и масштабировать тестирование на протяжении всего жизненного цикла приложения. AppScan Enterprise обеспечивает централизованное управление с расширенными возможностями сканирования и исправления приложений.
• Включите тестирование безопасности приложений в DevOps – Комплексный REST API позволяет автоматизировать тестирование безопасности и полностью контролировать действия по адаптации и аудиту. Тестирование безопасности может быть интегрировано в конвейер и запускаться инструментами CI / CD. Обнаруженные проблемы безопасности можно отправить в системы управления проблемами с помощью AppScan Issue Gateway.
• Подробные отчеты о безопасности и информационные панели корпоративного уровня – AppScan Enterprise помогает классифицировать и приоритизировать активы приложений в зависимости от воздействия на бизнес и выявлять области повышенного риска. Вы получаете представление о рисках безопасности и нормативно-правового соответствия, связанных с выявленными уязвимостями, и можете продемонстрировать свой прогресс с помощью показателей производительности.
• Управление безопасностью приложений на основе рисков – С помощью AppScan Enterprise вы можете определять риск на основе своей собственной стратегии. Для приложения можно определить меру риска на основе таких факторов, как доступ, влияние на бизнес или значимость угроз безопасности. Эти факторы можно настроить и запрограммировать в расчетах AppScan Enterprise. Менеджеры могут определять правила для измерения риска и автоматически классифицировать или ранжировать приложения на основе этого риска, чтобы помочь им принимать надежные и эффективные с точки зрения ресурсов решения.

HCL AppScan Standard – Выявление, понимание и устранение уязвимостей приложений

HCL Security AppScan Standard (ранее IBM Security AppScan) – инструмент проверки приложений и служб на наличие уязвимостей в защите. Он использует самые передовые методы тестирования для помощи в защите сайта от кибератак и обеспечивает полный набор опций вывода данных приложения.

AppScan Standard использует три разных способа тестирования, дополняющих и улучшающих друг друга:

• Динамический анализ (“сканирование черного ящика”).
• Основной способ, тестирующий и оценивающий ответы приложения во время выполнения.
• Статический анализ (“сканирование белого ящика”).
• Уникальная технология анализа кода JavaScript в контексте полной веб-страницы.
• Интерактивный анализ (“сканирование glass box”).
• Модуль динамического тестирования может взаимодействовать с выделенным агентом glass-box, находящемся на самом веб-сервере, позволяя AppScan находить больше ошибок и с большей точностью по сравнению со стандартным динамическим тестированием.

Дополнительные функции AppScan включают:

• Создание общих отчетов и отчетов соблюдения требований законодательства с использованием более 40 различных шаблонов, доступных сразу после установки.
• Настройка и возможность расширения с помощью платформы AppScan eXtension Framework или непосредственная интеграция в существующие системы с помощью AppScan SDK.
• Функции категоризации ссылок, область действия которых не ограничивается защитой приложения, а позволяет определить риски для пользователей от использования ссылок на вредоносные или нежелательные сайты.
• AppScan Standard помогает снизить риск утечек данных и атак на веб-приложения перед развертыванием сайта и выполняет оценку рисков в процессе эксплуатации.
• Помогает определить, какие технологии сайта могут повлиять на сканирования AppScan.

Основной функционал:

• Тестируйте веб-приложения, веб-сервисы и мобильные серверные части – Мощный механизм сканирования AppScan Standard использует новейшие алгоритмы и методы для обеспечения наиболее точного исследования и тестирования. Воспользуйтесь уникальной технологией AppScan на основе действий и десятками тысяч встроенных тестов, чтобы наилучшим образом обрабатывать реальные приложения – от простых веб-приложений до одностраничных приложений до интерфейсов REST API на основе JSON.
• Оптимизация тестов и инкрементное сканирование – Оптимизация тестов для статистического анализа обеспечивает контроль над компромиссом между скоростью и охватом и обеспечивает более быстрое сканирование с минимальным влиянием на точность. Возможности инкрементного сканирования сосредотачивают ваши усилия на тестировании только на коде приложения, который был изменен.
• Сложность решения – AppScan может адаптировать свое тестирование для любых нужд. Благодаря расширенной конфигурации пользователи могут сканировать даже самые сложные сценарии. AppScan записывает и тестирует сложные многоэтапные последовательности, динамически генерируя уникальные данные и отслеживая все разновидности заголовков и токенов. Исследование с помощью машинного обучения может оптимизировать сканирование больших приложений, предсказывая, какие ссылки ведут к новым областям приложения.
• Повышение инсайта – Обширная отчетность позволяет получить исчерпывающую информацию об обнаруженных проблемах, упрощая сортировку и устранение проблем. Полный список отчетов о соответствии и отраслевых стандартов (таких как PCI-DSS, HIPAA, OWASP Top 10, SANS 25 и т. Д.) Поможет вам выполнить нормативные требования.

HCL AppScan Source – Выявление и устранение уязвимостей безопасности на ранних этапах цикла разработки с помощью статического тестирования безопасности приложений.

Основной функционал:

• Комплексное решение для обеспечения безопасности приложений – Внедрите автоматизированную безопасность в разработку, интегрировав анализ исходного кода безопасности в процесс сборки. Программное обеспечение сканирует, сортирует и управляет политиками безопасности, а также определяет приоритетность результатов для исправления.
• Улучшенная видимость за счет интеграции – Интегрированные среды разработки (IDE), инструменты управления сборкой и системы отслеживания дефектов (DTS) обеспечивают повышенную интеллектуальную безопасность и предоставляют нужным людям необходимый уровень информации. AppScan поддерживает широкий спектр больших и сложных приложений на широком спектре языков программирования. Он построен на открытой архитектуре для защиты ваших существующих инвестиций.
• Сократите время и усилия с помощью Intelligent Finding Analytics (IFA) – Благодаря своим когнитивным возможностям IFA AppScan Source помогает сократить количество ложных срабатываний до 98% и сфокусировать результаты на тех, которые необходимо решить в первую очередь. Это снижает необходимость для экспертов по безопасности тратить время на проверку результатов на предмет ложных срабатываний, прежде чем отправлять их разработчикам. Время от идентификации до исправления сокращается, что снижает общие затраты на исправление уязвимостей системы безопасности.
• Лучшие практики безопасности за счет централизованного управления – AppScan Source определяет и применяет согласованные политики, которые можно использовать на всем предприятии. Это может помочь включить метрики и отчеты в масштабах всего предприятия с централизованной базой данных политик и оценок. AppScan Source также предоставляет отчеты об аудите и соответствии, которые упрощают понимание угроз, связанных с приложениями, на исполнительном уровне.
• Расширенные возможности отчетности, управления и соответствия – AppScan обеспечивает видимость рисков безопасности и соответствия установленным требованиям, связанных с выявленными проблемами безопасности. Он предоставляет более 40 отчетов о соответствии требованиям безопасности, включая PCI-DSS, Стандарт безопасности данных платежных приложений, ISO 27001 и ISO 27002, HIPAA, Закон Грамма – Лича – Блайли и Базель II.

HCL AppScan Cloud – Комплексное облачное решение для обеспечения безопасности приложений, обеспечивающее скорость и точность AppScan в мощном и удобном сервисе.

• Тестирование безопасности облачных приложений в DevOps – Интеграция с ведущими средами сборки, инструментами DevOps и IDE обеспечивает удобство тестирования безопасности приложений и быстрое целевое устранение уязвимостей. AppScan on Cloud предлагает полный набор технологий тестирования (SAST, DAST, IAST и Open Source), чтобы обеспечить самый широкий охват.
• Повысьте свою безопасность с помощью когнитивных возможностей – Проверенные когнитивные возможности позволяют AppScan on Cloud обеспечивать более глубокое и быстрое сканирование и устранять ложные срабатывания. Это позволяет выполнять более точное сканирование за меньшее время. Кроме того, AppScan Slider для SAST и DAST дает вашей организации возможность найти компромисс между скоростью и охватом на разных этапах жизненного цикла разработки программного обеспечения (SDLC).
• Управляйте и снижайте риски в своем портфеле приложений – Безопасность приложений – это не только выполнение тестов и поиск уязвимостей, но и управление рисками. AppScan on Cloud дает вам возможность просматривать все ваши приложения, оцененные по их важности для бизнеса, а также статус сканирования и исправления. Это позволяет расставить приоритеты в отношении ограниченных ресурсов и сосредоточиться на уязвимостях, представляющих наибольший риск для вашего бизнеса.
• Устранение рисков, связанных с открытым исходным кодом – AppScan on Cloud помогает защитить ваши компоненты с открытым исходным кодом и управлять ими. Это позволяет вам получить контроль и прозрачность лицензирования с открытым исходным кодом и уязвимостей в ваших приложениях.
• Автоматизация и настройка – AppScan on Cloud предоставляет богатый набор API-интерфейсов, а также платформу автоматизации AppScan с открытым исходным кодом, которая позволяет настраивать интеграцию в соответствии с вашими конкретными требованиями. В дополнение к доступным интеграциям «из коробки» для ведущих инструментов, API-интерфейсов и платформ, AppScan Gateway можно комбинировать для соответствия существующим процессам при переносе сканирования приложений в облако.