Открыть сервис

HCL AppScan

HCL AppScan — это семейство программных продуктов для автоматизированного тестирования безопасности веб-приложений, мобильных приложений и программных интерфейсов (API), разрабатываемое и поддерживаемое индийской компанией HCL Technologies. Инструменты AppScan предназначены для выявления уязвимостей на этапах разработки, тестирования и эксплуатации программного обеспечения, а также для аудита соответствия стандартам безопасности (например, OWASP Top 10, PCI DSS, HIPAA). Продукт является одним из наиболее известных решений в категории средств динамического (DAST) и статического (SAST) анализа безопасности приложений.

История

Разработка AppScan была начата компанией Watchfire (Канада) в конце 1990-х годов. Первоначально продукт назывался WebXM и представлял собой инструмент для сканирования веб-сайтов на наличие уязвимостей. В 2000 году компания была переименована в Watchfire, а продукт — в AppScan. В 2007 году Watchfire была приобретена корпорацией IBM за сумму около 100 миллионов долларов США. После сделки продукт был интегрирован в портфель решений IBM Rational и получил название IBM Rational AppScan.

Под управлением IBM продукт значительно расширил функциональность: были добавлены модули статического анализа (SAST), интерактивного тестирования (IAST) и анализа конфигураций. В 2019 году IBM продала подразделение безопасности, включая AppScan, компании HCL Technologies в рамках сделки стоимостью 1,8 миллиарда долларов. HCL продолжила развитие продукта, переименовав его в HCL AppScan, и выпустила несколько крупных обновлений, включая версии 10.0 (2020) и 11.0 (2023), в которых были улучшены поддержка облачных сред, API и контейнеризированных приложений.

Классификация и виды

Семейство HCL AppScan включает несколько основных продуктов, различающихся по методу анализа и целевой среде:

По методу анализа

  • AppScan Standard (DAST) — динамический анализатор безопасности. Работает методом «чёрного ящика»: сканирует работающее приложение через HTTP/HTTPS-запросы, имитируя атаки (SQL-инъекции, XSS, CSRF и др.). Не требует доступа к исходному коду. Подходит для тестирования готовых веб-приложений, API и мобильных бэкендов.
  • AppScan Source (SAST) — статический анализатор безопасности. Анализирует исходный код приложения без его выполнения. Выявляет уязвимости на ранних этапах разработки (например, переполнение буфера, некорректную обработку ввода, утечки данных). Поддерживает языки: Java, C#, C/C++, JavaScript, Python, PHP, Ruby и другие.
  • AppScan Enterprise — корпоративная платформа для централизованного управления тестированием безопасности. Объединяет результаты DAST, SAST и IAST-сканирований, предоставляет панели отчётности, интеграцию с системами управления жизненным циклом приложений (ALM, Jira, Jenkins) и возможность автоматизации процессов.
  • AppScan on Cloudоблачная версия DAST-сканера, работающая по модели SaaS. Позволяет проводить сканирование без установки локального ПО, но с ограничением по доступу к внутренним сетям (сканирование только публично доступных приложений).
  • AppScan Presence — компонент для сканирования приложений, расположенных за корпоративным брандмауэром. Представляет собой агент, устанавливаемый внутри сети, который инициирует сканирование по команде из облака или локальной консоли.

По целевому окружению

  • Веб-приложения — основная область применения. Поддерживаются все современные фреймворки (ASP.NET, Java EE, PHP, Node.js, Django, Ruby on Rails).
  • Мобильные приложения — анализ безопасности мобильных клиентов (iOS, Android) и их серверных API. Включает проверку на наличие слабых мест в хранилищах данных, неправильное использование криптографии, утечки через логи.
  • API (REST, SOAP, GraphQL) — отдельный модуль для тестирования программных интерфейсов. Позволяет сканировать как открытые, так и аутентифицированные эндпоинты, выявлять уязвимости в обработке запросов и ответов.
  • Контейнерные и облачные приложения — поддержка Docker, Kubernetes, AWS, Azure, Google Cloud. Сканирование конфигураций контейнеров и образов на наличие уязвимых компонентов.

Устройство и характеристики

Архитектура

HCL AppScan построен на модульной архитектуре. Основные компоненты:

  • Ядро сканирования — отвечает за генерацию и отправку тестовых запросов, анализ ответов, выявление уязвимостей. Использует базу данных сигнатур (более 100 000 известных уязвимостей), а также эвристические алгоритмы для обнаружения неизвестных атак.
  • Модуль разведки (Discovery) — автоматически обходит приложение, строит карту его страниц, форм, параметров и API-эндпоинтов. Поддерживает JavaScript-рендеринг для анализа одностраничных приложений (SPA).
  • Модуль аутентификации — поддерживает сложные схемы входа (OAuth, SAML, NTLM, формы, сертификаты). Позволяет сканировать приложения, требующие сессионных cookie или токенов.
  • Модуль отчётов — генерирует отчёты в форматах PDF, HTML, XML, CSV. Включает детальное описание уязвимости, код подтверждения (Proof of Concept), рекомендации по исправлению и ссылки на CWE/CVE.
  • Интеграционный слой — API для интеграции с CI/CD-пайплайнами (Jenkins, Azure DevOps, GitLab CI, GitHub Actions), системами отслеживания ошибок (Jira, Bugzilla, ServiceNow) и инструментами управления исходным кодом (Git, SVN).

Технические характеристики

  • Производительность: сканирование приложения средней сложности (до 500 страниц) занимает от 30 минут до 2 часов. Для крупных приложений (более 10 000 страниц) время может достигать 12–24 часов.
  • Точность: уровень ложных срабатываний (False Positive) оценивается производителем в 5–15% для DAST и 10–20% для SAST. Для снижения ложных срабатываний используется механизм верификации (проверка уязвимости путём повторного теста).
  • Поддерживаемые протоколы: HTTP/1.1, HTTP/2, HTTPS, WebSocket, REST, SOAP, GraphQL, gRPC (частично).
  • Платформы: Windows (для AppScan Standard и Source), Linux (для серверных компонентов Enterprise), облачные среды (AWS, Azure, GCP).

Применение

HCL AppScan используется в различных сценариях:

Разработка и DevOps

  • Shift-left тестирование: интеграция SAST-сканера в среду разработки (IDE) позволяет разработчикам выявлять уязвимости на этапе написания кода, до коммита.
  • CI/CD-пайплайны: автоматическое сканирование каждой сборки или релиза. При обнаружении критических уязвимостей сборка может быть остановлена.
  • Регулярное сканирование: еженедельное или ежемесячное тестирование работающих приложений на предмет новых уязвимостей.

Аудит и соответствие стандартам

  • OWASP Top 10: проверка на наличие всех типов уязвимостей из актуального списка OWASP (2021).
  • PCI DSS: сканирование для соответствия требованиям стандарта безопасности данных индустрии платёжных карт (требование 6.6 — регулярное тестирование веб-приложений).
  • HIPAA, GDPR, SOX: автоматическая проверка на утечки персональных данных и нарушение конфиденциальности.
  • ГОСТ Р 57580.1-2017: в России продукт используется для аудита безопасности информационных систем, обрабатывающих персональные данные, в соответствии с требованиями ФСТЭК России.

Примеры использования

  • Банковский сектор: тестирование интернет-банкинга и мобильных приложений на предмет SQL-инъекций, XSS и уязвимостей аутентификации.
  • Электронная коммерция: проверка платёжных шлюзов, API для интеграции с партнёрами, защита от ботов и автоматизированных атак.
  • Государственные информационные системы: аудит порталов госуслуг, систем электронного документооборота, баз данных.
  • Промышленность: тестирование веб-интерфейсов SCADA-систем и IoT-устройств.

Критика

Несмотря на широкое распространение, HCL AppScan имеет ряд недостатков, отмечаемых пользователями и экспертами:

  • Высокая стоимость: лицензии на корпоративную версию (Enterprise) и SAST-модуль могут стоить десятки тысяч долларов в год, что делает продукт малодоступным для малого бизнеса.
  • Сложность настройки: для эффективного сканирования сложных приложений (особенно с аутентификацией, CAPTCHA, JavaScript-фреймворками) требуется значительное время на конфигурацию.
  • Ложные срабатывания: несмотря на механизмы верификации, доля ложных срабатываний остаётся высокой, особенно для SAST-анализа, что требует ручной проверки результатов.
  • Ограниченная поддержка современных технологий: поддержка GraphQL, gRPC, WebAssembly и одностраничных приложений (SPA) на React/Vue/Angular реализована не полностью, что может приводить к пропуску уязвимостей.
  • Зависимость от версий: после перехода от IBM к HCL некоторые пользователи отмечали проблемы с миграцией конфигураций и совместимостью старых отчётов.

Интересные факты

  • В 2015 году с помощью IBM AppScan была обнаружена критическая уязвимость в системе электронного голосования в Швейцарии, что привело к временной приостановке проекта.
  • HCL AppScan входит в список «Magic Quadrant for Application Security Testing» (Gartner) как один из лидеров рынка наряду с Veracode, Checkmarx и Synopsys.
  • В 2023 году HCL выпустила версию AppScan 11.0 с поддержкой анализа безопасности контейнеров Docker и Kubernetes, что позволило сканировать образы на наличие уязвимых компонентов.
  • Продукт используется в учебных курсах по кибербезопасности, в том числе в рамках программ подготовки специалистов по защите информации в российских вузах (МГТУ им. Баумана, МИФИ, СПбГУТ).

Источники

  1. HCL AppScan Product Documentation (HCL Software, 2024).
  2. Gartner Magic Quadrant for Application Security Testing, 2023.
  3. OWASP Top 10 – 2021: The Ten Most Critical Web Application Security Risks.
  4. PCI DSS v4.0: Requirements and Security Assessment Procedures.
  5. ГОСТ Р 57580.1-2017 «Защита информации финансовых организаций».
  6. IBM Rational AppScan: A History of Application Security Testing (IBM DeveloperWorks, 2018).
  7. HCL Technologies Acquires IBM Security AppScan: Press Release, 2019.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →