Команда CodeScoring поздравляет вас с наступающим Новым годом.

Благодарим наших заказчиков, партнеров и сообщество за веру в нас и наш продукт! Ваша обратная связь помогает нам держать правильный курс и становиться лучше от релиза к релизу.

В январе мы расскажем подробнее о важных обновлениях CodeScoring последних месяцев.

Безопасных зависимостей и качественного кода!

Встреча сообщества безопасной разработки

Итак, ура! Мы начинаем Новый год встречей SDL-сообщества в очно-заочном формате в Санкт-Петербурге. Команда CodeScoring конечно будет и мы можем познакомиться и пообщаться в свободной обстановке. Будем рады видеть!

🗓 Когда: 20 января 2023
📍 Где: митап-бар Failover Bar
🗺 Адрес: СПб, 7-я линия Васильевского Острова, д. 42

Тайминги:
16:00 Виски-час (да-да, вы не ослышались, это он).
17:00 Открытие
17:10 Доклады от энтузиастов сообщества
19:30 Радости и горести - микродоклады на свободную тему
20:00 Общение сообщества (оффлайн)

🎁 +сюрпризы от организаторов и участников!

Доклады посвящены инструментам и технологиям, а также радостям и горестям практических подходов внедрения процессов безопасной разработки (DevSecOps) в жизнь организации (не забудем и про сертификацию).

Выступят ведущие эксперты компаний: ИСП РАН, CodeScoring, Фобос-НТ, Postgres Professional, Базальт СПО, Ядро и Беллсофт.

Для тех кто не доберется, будет проходить трансляция на youtube-канале организаторов, подписывайтесь, чтобы не пропустить.

Участие бесплатное, пароль на входе - SDL.

Неформальность гарантируем!

Коллеги! Техническая накладочка,
трансляция с Ютуба переносится в Телеграм.

Стрим будет у нас в канале: https://xn--r1a.website/codemining

Комментарии и вопросы задавать в чате:
https://xn--r1a.website/+lpIQaXrEAuo3MzAy

Обновления с октября 2022 по январь 2023 🚀

Подводим итоги нашей работы за последние четыре месяца и делимся результатами!

1. Закрытое тестирование проходит функция сканирования Docker-образов. О деталях мы расскажем в отдельном анонсе.

2. Добавлена интеграция с двумя новыми базами уязвимостей: OSS Index от Sonatype и OSV от Google. Последняя агрегирует в себя 15 экосистемных фидов.

3. Открыт API для всех сущностей on-premise инсталляции. Теперь есть возможность создавать собственные автоматизации и настраивать гибкие интеграции со сторонними сервисами.

4. Взаимодействие on-premise инсталляции с облаком CodeScoring переведено на асинхронный режим. Это существенно оптимизирует работу системы по сети, сокращает количество постоянных соединений, убирает зависимость от таймаутов, делает получение результатов более надёжным. Огромный плюс для наших клиентов, работающих через локальные прокси.

5. Добавлены новые параметры настройки политик, например: возраст зависимости, идентификатор CWE, условие отсутствия данных о пакете. В общей сложности для создания политик на данный момент доступно 20 условий, которые можно свободно комбинировать.

6. Дополнительно стал доступен набор преднастроенных политик для оповещений об обнаружении protestware пакетов на основе фида toxic-repos.

7. Расширены возможности консольного агента: распаковка и сканирование архивов, расширенная поддержка Gradle Dependency Tree, поддержка последних стандартов Yarn-манифестов, улучшен разбор манифестов Conan.

8. Оповещения политик теперь можно отложить на определенный промежуток времени или до указанной даты с помощью функций “ignore for” и “ignore until”.

9. Расширены события аудит лога, в том числе теперь сохраняются события входа пользователей.

10. Существенно оптимизирована скорость проверок через Firewall, время ожидания при установке пакетов сократилось в несколько раз.

11. Для удобства наших клиентов мы перешли на схему версионирования CalVer.

Как всегда, за кадром было сделано ещё много технической и аналитической работы, и ещё много полезных обновлений уже в разработке 👨‍💻

CodeScoring на ТБФорум'23

Наша команда примет участие на грядущем ТБФоруме в рамках дня Безопасной разработки.

Можно заглянуть к нам на стенд, пообщаться лично и послушать новые доклады. Программа уже доступна.

🗓 16 февраля 2023
📍 Крокус Конгресс Холл, Москва

✅ Участие бесплатное, но регистрация обязательна (для прохода): https://www.tbforum.ru/2023/as-visitors

#ТБФорум

И дополнительная информация от организаторов Дня безопасной разработки:

Формат мероприятия экспериментальный и новый для ТБФорума, поэтому несколько тезисов почему мероприятие может быть интересным для вас:

1. Лейтмотив мероприятия - встреча сообщества энтузиастов безопасной и качественной разработки, формируемого под эгидой Центров компетенций ФСТЭК России и ИСП РАН. По духу мероприятие задумано как встреча единомышленников, своего рода масштабный митап. По сути - коктейль из вопросов разработки качественного кода, тестирования решений на всех этапах жизненного цикла, регуляторики в отношении этих процессов.

2. Целевая аудитория мероприятия максимально широкая - мы проектируем его интересным ген. директору и джун-разработчику, чиновнику и ученому-студенту, при одном важном условии: вы действительно заинтересованы в том, чтобы узнать что-то новое и улучшить процессы на любом уровне, от начинающей компании до государства в целом.

3. В программе мероприятия параллельные треки активностей - традиционные доклады и мастер-классы (да! кнопки понажимать тоже удастся), большой круглый стол и блиц-зона частных консультаций (бесплатно, без СМС). А также несколько сюрпризов 😏 Традиционно важным для встреч сообщества форматом являются кулуары - по опыту можем с уверенностью заявить, присутствовать лучше очно. Но разумеется трансляция основного трека докладов также планируется.

4. Совершенно неожиданно у нас случился аншлаг спикеров. Что особенно приятно - основная их часть это не просто активные участники нашего сообщества и значимые профессионалы в своих областях, но и хорошие рассказчики, что немаловажно для успеха конференции. Важный момент - совместно со спикерами мы провели ряд организационных мероприятий, вследствие которых рассчитываем, что в основном треке докладов не будет ни лютой маркетологии (при всём уважении к маркетологам), ни инженерного хардкора (при всём уважении к инженерам экстра-класса). Постараемся держать баланс интереса и полезности для широкой аудитории 🙂

Не забудьте пройти регистрацию:
https://www.tbforum.ru/2023/as-visitors

#ТБФорум

Обновления за февраль-март 2023 🚀

Рассказываем, что нового появилось в продукте за последние два месяца работы

1. Добавлена визуализация графа зависимостей проекта. Открыть интерактивную визуализацию можно из списка зависимостей или на странице проекта. Подробнее о данной функциональности рассказано в нашей статье.

2. Реализован новый уровень доступа Auditor. Он позволяет пользователю просматривать все настройки и проекты в системе без возможности вносить и сохранять изменения.

3. Добавлена опция отключения поиска непосредственного включения библиотек во время проведения анализа на инсталляции.

4. Добавлен кэш ответов Index API для Firewall, что позволяет ускорить вторичные запросы данных о компонентах.

5. Запуск массового анализа всех проектов теперь логируется в Audit log.

6. Облегчена работа с API — для Swagger больше не требуется интернет.

7. Оптимизирована загрузка графика Distribution by license на Dashboard — теперь график загружается одновременно с другими визуализациями.

8. Добавлены поля Note в Policy ignore и Description в Policy.

9. Добавлена настройка для времени жизни сессии. По умолчанию сессия пользователя заканчивается через 2 недели с момента последней активности, после чего нужно произвести повторный вход в систему.

10. Получил обновление консольный агент johnny, среди изменений: сканирование docker-образов, поддержка команд при работе из терминала и улучшение разбора файлов Poetry-проектов.

Помимо этого, была проведена важная работа по оптимизации продукта и устранению багов 📠

Консорциум по поддержке Технологического центра исследования безопасности ядра Linux

И пока мы готовим очередные новости про важные обновления CodeScoring, спешим поделиться полезной информацией для наших технологических партнеров и заказчиков.

В России учреждён Консорциум для совместных исследований безопасности ядра Linux. Для прохода по ссылке рекомендуется взять с собой сертификат Минцифры.

Присоединиться к Консорциуму могут научно-образовательные организации, коммерческие компании, производственные центры – все, чья деятельность связана с исследованием безопасности ядра Linux, которое находится в основе большинства операционных систем и многих других программных продуктов.

Организация Консорциума необходима для масштабирования работ, которые уже доказали свою востребованность, а это более 150 принятых патчей в апстрим ядра за прошедший год.

Эффективное взаимодействие всех участников позволит внедрить принципы разработки безопасного ПО и исключить дублирование усилий по исследованию безопасности ядра Linux в российских компаниях.

Обновления CodeScoring за апрель-июнь 2023 🚀

Последние месяцы мы посвятили повышению удобства работы пользователя с проектами, а также улучшению качества продукта.

1. Добавлена поддержка системных пакетов для Firewall-плагина в NXRM.

2. Добавлен новый тип проектов без привязки к репозиторию — CLI. Данные проекты позволяют сохранять результаты сканирования от консольного агента в системе.

3. Добавлены рекомендации по устранению уязвимостей (fixed version). Версия компонента с исправленной уязвимостью доступна в разделе Vulnerabilities.

4. Добавлена группировка Policy alerts в дайджесты для уведомлений через email. Письмо с результатами сработавших политик отправляется по завершении сканирования проекта.

5. Добавлена возможность загрузки и скачивания SBOM проекта в формате CycloneDX.

6. Добавлена возможность принудительного обновления кода проекта. В разделе настроек проекта по кнопке Refresh code project можно принудительно обновить репозиторий внутри проекта.

7. Добавлена возможность подключения нескольких VCS с одним адресом, но разными токенами. Эта опция особенно важна для клиентов, которые не имеют возможности заводить одного служебного пользователя с доступом ко всем проектам в хостинге репозиториев.

8. Добавлена поддержка basic auth для интеграции с Jira. Для подключения таск-менеджера теперь достаточно ввести логин и пароль от учетной записи.

9. Добавлена возможность проведения анализа на CLI-проекте через интерфейс.

10. Добавлен поиск по названию политики и имени зависимости в разделе Policy alerts.

11. Добавлены новые условия политики - по наличию эксплойта уязвимости и частям CVSS-вектора.

12. Добавлен фильтр для поиска по названию политик в разделе Policies.

13. Добавлены новые возможности для консольного агента johnny: разбор системных пакетов в рамках сканирования docker-образов, создание проекта, сохранение результатов сканирования, поиск системных зависимостей в docker-образах, настройка глубины сканирования архивов.

14. Улучшен разбор манифестов gemfile, package-lock.json, conan.lock, yarn.lock.

15. Исправлены различные недочеты в системе: вывод списка лицензий на графике Distribution by license, экспорт зависимостей с пустым фильтром, появление дубликатов Policy alerts при большой нагрузке, скорость загрузки страниц Code Clones.

Новостные обновления

Пока мы готовим очередные новости про важные обновления CodeScoring, анонсируем полезные материалы для наших подписчиков.

🔥 Сегодня вышел свежий номер журнала "Информационная безопасность" №3. Центральным событием выпуска стал спецпроект "Безопасная разработка" — большой круглый стол по вопросам практической информационной безопасности (стр. 37-55!).

Помимо нас, в нем приняли участие представители 18 организаций, многие из которых хорошо знакомы SDL-сообществу и являются его активными участниками. В материале представлено много интересных мнений по актуальным вопросам которые вызывают наибольший резонанс у представителей как инженерного, так и бизнес-сообщества.

📖 Приятного прочтения!

————————————
▶️ А ещё, пользуясь случаем, подсветим последние видео, вышедшие на канале CodeScoring:
- Три этюда о защите цепочки поставки программного обеспечения
- Мифы и факты о цепочке поставки программного обеспечения
- Занимательные лицензии с Шелдоном Купером
- Построить SBoM, вырастить SDL-политики, воспитать культуру безопасной разработки

Обновление консольного вывода агента CodeScoring

Начиная с версии 2023.30.0, консольный агент CodeScoring выводит результат сканирования в виде таблиц вместо списков. Находить важную информацию и анализировать результаты стало проще и быстрее.

Более подробно о новой функциональности можно прочитать в нашем блоге.

История результатов сканирования в CodeScoring

Начиная с версии 2023.35.0, в СodeScoring доступна история результатов сканирования для модуля SCA. Теперь пользователи могут увидеть результаты композиционного анализа проекта за определенную дату и загрузить полученный ранее SBoM. История сканирования также полезна, чтобы узнать, какая версия проекта сканировалась и кто запускал анализ.

Подробнее новый функционал описан в блоге СodeScoring.

Обновления CodeScoring за июль-август 2023 🚀

Разгар лета ознаменовался жаркой работой над функционалом консольного агента и улучшением опыта взаимодействия с результатами анализа. Вот что нового появилось в CodeScoring за это время:

1. Добавлена история результатов сканирования проектов в модуле SCA. Подробнее и с картинками в отдельной статье.

2. На странице проекта информация из модулей SCA и TQI разведена в отдельные вкладки.

3. Консольный агент johnny теперь выводит уязвимости и алерты в виде удобных таблиц. Детали о новой функциональности доступны в блоге CodeScoring.

4. Добавлены метрики состояния очередей и количества запущенных анализов. Теперь можно настроить мониторинг производительности инсталляции в Prometheus.

5. Добавлено отображение частей CVSS векторов в списке уязвимостей.

6. Добавлено новое условие политики "Vulnerability has fixed version".

7. Добавлено поле CWE в экспорт CSV-таблицы уязвимостей.

8. Добавлен баннер CodeScoring и логирование версии в консоль при запуске Docker-контейнера с инсталляцией.

9. Добавлена индикация активного процесса анализа в консольном агенте. Во время обработки результатов отображается время выполнения запроса.

10. Добавлен парсинг манифеста conanfile.py для Conan.

11. Унифицирована обработка слэша в конце строки для команды scan dir в консольном агенте. При отсутствии названия проекта в SBOM всегда выводится имя той директории, в которой находится манифест.

12. Добавлена информация по fixed version в таблице Affected dependencies.

13. Версия инсталляции перенесена из футера в боковое меню.

14. Улучшения в плагине для JFrog Artifactory Pro: ускорена работа плагина, добавлен флаг blockDownloads в properties, который позволяет контролировать загрузку пакета при наличии ошибок CodeScoring API или плагина, добавлен префикс CodeScoring ко всем логам.

15. Удалены устаревшие эндпоинты API.

16. Проведена работа над исправлением недочетов в системе: убрана возможность нажать кнопку Upload SBOM без наличия прикрепленного файла, исправлено несоответствие Swagger-схемы с API, а также panic при анализе некоторых Go проектов.

Kaspersky Open Source Software Threats Data Feed теперь в CodeScoring!

Kaspersky Open Source Software Threats Data Feed поставляет уникальные данные, которых нет в публичных базах уязвимостей. Речь идет в том числе о компонентах с недекларируемыми возможностями, например, отображающими нежелательную информацию, обусловленную геополитикой, и пакетах, содержащих небезопасное ПО, такое как криптомайнеры или вредоносные инструменты. На текущий момент Kaspersky Open Source Software Threats Data Feed содержит информацию примерно о 42 тысячах уязвимостях в более чем 10 тысячах пакетов, и 11 тысячах вредоносных или содержащих потенциально опасные хакерские утилиты пакетов с открытым исходным кодом, которые размещены в популярных репозиториях.

Интеграция с «Лабораторией Касперского» дает возможность получать больше информации об открытых пакетах и настраивать более эффективные политики безопасности.

Подробнее об интеграции можно узнать на нашем сайте: https://codescoring.ru/tpost/1tony8n191-kaspersky-open-source-software-threats-d

Открытая конференция ИСП РАН 2023

В начале декабря в Москве пройдет конференция ISPRASOpen посвященная 75-летию отечественных информационных технологий при поддержке РАН, ФПИ, а также IEEE и IEEE Computer Society.

Институт системного программирования известен своими технологиями и мощной экспертизой не только программной инженерии, но и исследованиях в области искусственного интеллекта и медицины.

В этом году будут представлены доклады о технологиях анализа, моделирования и трансформации программ, управления данными и информационными системами, решении задач механики сплошных сред с использованием СПО, САПР микроэлектронной аппаратуры и лингвистические системы анализа.

Состоится выставка технологий ИСП РАН и компаний-партнёров. Если вы хотели познакомиться поближе с решениями и их авторами, то обязательно нужно быть.

Важной частью первого дня станет секция «Образование, технологии, сообщество: системный подход к безопасной разработке». Она объединит три тематических блока, которые будут посвящены формированию единой концепции обучения системному программированию, результатам совместной работы ИСП РАН и компаний-партнёров в Технологическом центре исследования безопасности ядра Linux и другим актуальным темам в области кибербезопасности.

Команда CodeScoring примет участие в конференции в качестве гостей и участников SDL-секции, где будет проводиться три блока:
- SDL и кадровый голод. Поиск решений
- Технологические центры. Технологии и люди
- За пределами SDL

Завершение первого дня будет сопровождено традиционным заседанием виски-клуба SDL-сообщества.

🗓 4 и 5 декабря 2023
📍 Главное здание Российской академии наук

Участие бесплатное, необходима регистрация.
Сайт конференции: https://www.isprasopen.ru/

Обновления CodeScoring за сентябрь-ноябрь 2023 🚀

В середине осени мы добавили важный функционал для многих наших клиентов – возможность работы с контейнерными образами на инсталляции. Помимо этого, в течение последних трех месяцев было уделено много внимания модулю OSA и оптимизации продукта. Вот какие изменения произошли в CodeScoring:

1. Добавлена возможность сканирования образов из hosted и proxy Docker репозиториев на базе Sonatype Nexus Repository и JFrog Artifactory. Подробнее о работе с Docker-образами можно прочесть в документации.

2. Большое обновление получили плагины OSA для прокси-репозиториев: появилась возможность блокировки скачивания образов из Docker репозиториев при несоответствии политикам безопасности и настраивать режимы работы плагина.

3. Консольный агент Johnny теперь выводит сводную информацию о степени критичности уязвимостей, имеет возможность настройки формата таблицы с результатами сканирования, а также лучше разбирает манифесты .gradle.kts.

4. Уменьшен размер поставляемых Docker-образов CodeScoring.

5. Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов в OSA – теперь данные о загружаемом компоненте приходят быстрее.

6. Добавлен параметр Matched criteria в раздел Policy alerts. Параметр позволяет быстро узнать какое условие стало причиной срабатывания политики.

7. Добавлено новое условие политики – возраст уязвимости.

8. Добавлены метрики по количеству и времени запросов, а также статусу сканирования и блокировки компонента в CodeScoring OSA.

9. Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди.

10. Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API.

11. Добавлено скрытие пароля и токена в настройках подключения к Jira.

12. Добавлена возможность указания спецсимволов в пароле для подключения к базе данных.

13. Добавлено сохранение фильтров между вкладками в разделе Policy alerts

14. Возвращено моментальное удаление Policy Alert из списка Active после создания правила игнорирования политики.

15. Ускорена работа анализа при большом количестве Policy ignores.

16. Исправлены различные недочеты и ошибки в системе: дубликаты уязвимостей в SBOM с разными затронутыми версиями, отображение игнорируемых политик в разделе Policy Ignores, наличие полей Source files и Parents на странице зависимости, открытие страницы просмотра Policy Ignore и отображение ошибки git 128 при работе с VCS.

Команда CodeScoring поздравляет вас с наступающим Новым годом!

Благодарим наших заказчиков, партнеров и сообщество за веру в нас и наш продукт!

Ваше доверие и обратная связь являются для нас важным стимулом в совершенствовании CodeScoring и всех его сопутствующих частей.

Желаем всем побольше крутых проектов, надежного кода в конвейере и возможности быть на шаг впереди, а мы будем рядом.

И чтобы графНовогоднее древо у вас вызывало только теплые чувства!

С Наступающим! Урра!

CodeScoring на ТБФорум'24

В этом году CodeScoring выступает генеральным партнером конференции "Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО".

На нашем стенде (E60) с 13 по 15 февраля вы сможете задать все интересующие вопросы, лично познакомиться с нашей, ставшей уже легендарной, службой Заботы и узнать о ближайших планах развития продукта.

Планы и готовящиеся к выпуску киллер-фишки будут анонсированы в докладе "Эффективный композиционный анализ. Путь к успешному внедрению и упражнения на статику", который представит Алексей Смирнов 15 февраля.

Программа основного дня докладов доступна на сайте конференции.


🗓 13-15 февраля 2023
📍 Крокус Конгресс Холл, Москва

✅ Участие бесплатное, но регистрация обязательна (для прохода): https://www.tbforum.ru/visit-/codescoring

#ТБФорум