PT BlackBox Scanner

Основные статьи:

• Уязвимости в ПО и оборудовании
• SaaS - История. Философия. Драйверы развития

BlackBox Scanner - облачный сервис для выявления уязвимостей в веб-приложениях.

BlackBox (on-premise версия)

Основная статья: on-premise-сканер BlackBox

2026: Интеграция LLM

Positive Technologies интегрировала в общедоступный облачный DAST-анализатор веб-приложений (сайтов) PT BlackBox Scanner большую языковую модель (LLM) собственной разработки. Теперь, помимо отчета о сканировании, разработчики и владельцы веб-ресурсов могут получать развернутые рекомендации по устранению обнаруженных дефектов защиты. Расширенные возможности анализатора делают актуальные технологии безопасной разработки еще доступнее для рынка. Об этом разработчик сообщил 28 января 2026 года.

Уязвимости в приложениях могут грозить бизнесу утечкой конфиденциальных данных и атаками на пользователей корпоративных сервисов. Кроме того, бизнес-приложения на сетевом периметре остаются самой распространенной (36% случаев) точкой входа хакеров в инфраструктуру компании. Вместе с тем некоторые инструменты, которые организации внедряют для сканирования защищенности ПО, дают лишь описание проблемы — без указания на то, какие именно изменения нужно внести в код. В результате становится ясно: усилить защиту приложения без помощи опытных специалистов по ИБ невозможно.Как построить цифровой фундамент для мебельного ритейла будущего 8 т

Обновленный PT BlackBox Scanner помогает разработчикам устранять уязвимости на сайтах и в веб-приложениях. Теперь в дополнение к подробному отчету, включающему результаты более 110 видов проверок, сервис, используя возможности искусственного интеллекта, автоматически формирует рекомендации по устранению найденных дефектов безопасности. В них доступным языком описываются причины появления уязвимостей, а также содержатся примеры корректного кода и конфигураций.

𝓲

Фото: PT

Мы стремимся сделать PT BlackBox Scanner еще более понятным и удобным для широкого круга пользователей. Для нас важно, чтобы любой разработчик и владелец веб-ресурса мог регулярно и без лишних трудозатрат проверять защищенность своего продукта, — отметил спикер Positive Technologies. — Благодаря внедрению нашей собственной LLM сервис не просто приоритизирует уязвимости, но и дает конкретные рекомендации по их устранению. Теперь даже специалисты, не обладающие глубокой экспертизой в сфере кибербезопасности, могут быстро принимать меры, которые необходимы для исправления найденных недостатков защиты.

2024

Совместимость с GitFlic

Эксперты «РеСолют» (входит в «Группу Астра») и Positive Technologies завершили серию испытаний совместимости анализатора кода PT BlackBox и платформы для работы с исходным кодом GitFlic. Результаты тестов продемонстрировали полную работоспособность и стабильность программного стека. Об этом ГК Астра сообщила 27 ноября 2024 года.

PT BlackBox обнаруживает уязвимости и ошибки окружения во время работы приложений: в процессе сканирования он моделирует поведение атакующего, который не знает, как устроен сам код. Если использовать этот инструмент в комбинации со статическим анализатором PT Application Inspector, который тоже интегрирован с GitFlic, можно получить наиболее полное представление о слабых местах продукта. Отчеты по результатам любого типа проверки софта на безопасность доступны пользователям в интерфейсе платформы GitFlic.

Более 400 команд разработки уже используют PT BlackBox для повышения качества своего кода. Его совместимость с GitFlic позволяет еще большему числу DevSecOps-специалистов выявлять уязвимости ПО, которыми могут воспользоваться хакеры в реальной жизни. Эти риски важно учитывать еще на этапе создания продукта, поскольку веб-приложения до сих пор остаются одной из самых распространенных (44%) точек входа злоумышленников в инфраструктуру компаний, – отметил Иван Соломатин, руководитель развития бизнеса защиты приложений Positive Technologies.

Интеграция GitFlic с решением нашего технологического партнера Positive Technologies позволяет разрабатывать программное обеспечение, соответствующее мировым стандартам. Мы уверены, что клиенты оценят практическую ценность совместимости GitFlic с PT BlackBox, — отметил Максим Козлов, технический директор ООО «РеСолют».

Выход версии продукта для анализа безопасности веб-приложений

Компания Positive Technologies в августе 2024 года представила обновленную версию своего облачного сканера уязвимостей PT BlackBox Scanner, предназначенного для анализа безопасности веб-приложений. Этот инструмент, находящийся в свободном доступе, позволяет обнаружить уязвимости в коде и конфигурациях веб-ресурсов, применяя метод динамического анализа (DAST). Сканер уже доступен для использования всем желающим.

По словам разработчиков, PT BlackBox Scanner получил десятки новых функций и улучшений, включая возможность скачивания подробного отчета по результатам проверки. Сервис способен выполнять более 110 видов проверок, моделируя реальные атаки на работающие веб-приложения для выявления слабых мест, которые могут быть использованы злоумышленниками.

𝓲

Фото: Positive Technologies

Одним из основных нововведений стала оптимизация процесса сканирования, что позволило ускорить проверку приложений в два раза. Также был добавлен профиль для сканирования периметра приложений с целью поиска поддоменов и открытых портов, что дает возможность выявить дополнительные уязвимые ресурсы, не предназначенные для публичного доступа. В обновленную версию также включены специальные проверки для популярной платформы «1C-Битрикс», что позволяет учитывать новые критические уязвимости.

Кроме того, сервис получил масштабное обновление базы знаний об известных уязвимостях, а также сценарии для их верификации. Важной функцией стало фильтрование найденных уязвимостей по степени их критичности, что упрощает приоритизацию работы над безопасностью.

По словам руководителя проекта PT BlackBox Сергея Синякова, основной целью компании является развитие облачной версии сканера, которая со временем полностью заменит старую. Новая версия сохраняет привычный интерфейс, но предлагает улучшенные функции на основе отзывов пользователей. Кроме того, сканер теперь использует новый движок, аналогичный тому, что применяется в других флагманских продуктах Positive Technologies.

2017: Запуск бета-тестирования бесплатного онлайн-сервиса BlackBox Scanner

23 мая 2017 года компания Positive Technologies объявила о запуске публичного бета-тестирования бесплатного онлайн-сервиса для обнаружения уязвимостей в веб-приложениях BlackBox Scanner.

Пользователи могут начать проверку без регистрации и подтверждения владения сайтом. В основе сервиса использованы технологии обеспечения безопасности приложений корпоративного уровня Positive Technologies. Проверить можно и сайты, действующие в локальной сети.

Скриншот экрана страницы, (2017)

Предотвратить анонимную эксплуатацию сервиса и сохранить легкость использования позволяет open source-агент, который дает возможность не подтверждать факт владения сайтом, обеспечивая туннелирование всех запросов на сканирование через ПК пользователя к сканируемому сайту. Другим способом защиты PT BlackBox Scanner от анонимного использования является подтверждение владения через размещение специального кода в корневом каталоге сайта.

Сервис ориентирован на заинтересованных в защите веб-приложений: от владельцев сайтов до компаний и экспертов, тестирующих защищенность сайтов своих клиентов.

Уязвимости веб-приложений в наше время являются одним из наиболее распространенных векторов компрометации. Крупный и малый бизнес активно переводит свою деятельность в цифровую плоскость, поэтому незащищенность веб-приложений чревата юридическими и экономическими рисками, раскрытием личных данных пользователей и мошенничеством. Мы хотим вывести безопасность на передний план, дать людям возможность самим найти уязвимые места в своей инфраструктуре и опередить злоумышленников. Мы также верим, что наши знания и опыт помогут сделать виртуальный мир более безопасным, и именно поэтому наш PT BlackBox Scanner является бесплатным. Максим Филиппов, директор по развитию бизнеса Positive Technologies в России