Открытая конференция ИСП РАН 2023
В начале декабря в Москве пройдет конференция ISPRASOpen посвященная 75-летию отечественных информационных технологий при поддержке РАН, ФПИ, а также IEEE и IEEE Computer Society.
Институт системного программирования известен своими технологиями и мощной экспертизой не только программной инженерии, но и исследованиях в области искусственного интеллекта и медицины.
В этом году будут представлены доклады о технологиях анализа, моделирования и трансформации программ, управления данными и информационными системами, решении задач механики сплошных сред с использованием СПО, САПР микроэлектронной аппаратуры и лингвистические системы анализа.
Состоится выставка технологий ИСП РАН и компаний-партнёров. Если вы хотели познакомиться поближе с решениями и их авторами, то обязательно нужно быть.
Важной частью первого дня станет секция «Образование, технологии, сообщество: системный подход к безопасной разработке». Она объединит три тематических блока, которые будут посвящены формированию единой концепции обучения системному программированию, результатам совместной работы ИСП РАН и компаний-партнёров в Технологическом центре исследования безопасности ядра Linux и другим актуальным темам в области кибербезопасности.
Команда CodeScoring примет участие в конференции в качестве гостей и участников SDL-секции, где будет проводиться три блока:
- SDL и кадровый голод. Поиск решений
- Технологические центры. Технологии и люди
- За пределами SDL
Завершение первого дня будет сопровождено традиционным заседанием виски-клуба SDL-сообщества.
🗓 4 и 5 декабря 2023
📍 Главное здание Российской академии наук
Участие бесплатное, необходима регистрация.
Сайт конференции: https://www.isprasopen.ru/
В начале декабря в Москве пройдет конференция ISPRASOpen посвященная 75-летию отечественных информационных технологий при поддержке РАН, ФПИ, а также IEEE и IEEE Computer Society.
Институт системного программирования известен своими технологиями и мощной экспертизой не только программной инженерии, но и исследованиях в области искусственного интеллекта и медицины.
В этом году будут представлены доклады о технологиях анализа, моделирования и трансформации программ, управления данными и информационными системами, решении задач механики сплошных сред с использованием СПО, САПР микроэлектронной аппаратуры и лингвистические системы анализа.
Состоится выставка технологий ИСП РАН и компаний-партнёров. Если вы хотели познакомиться поближе с решениями и их авторами, то обязательно нужно быть.
Важной частью первого дня станет секция «Образование, технологии, сообщество: системный подход к безопасной разработке». Она объединит три тематических блока, которые будут посвящены формированию единой концепции обучения системному программированию, результатам совместной работы ИСП РАН и компаний-партнёров в Технологическом центре исследования безопасности ядра Linux и другим актуальным темам в области кибербезопасности.
Команда CodeScoring примет участие в конференции в качестве гостей и участников SDL-секции, где будет проводиться три блока:
- SDL и кадровый голод. Поиск решений
- Технологические центры. Технологии и люди
- За пределами SDL
Завершение первого дня будет сопровождено традиционным заседанием виски-клуба SDL-сообщества.
🗓 4 и 5 декабря 2023
📍 Главное здание Российской академии наук
Участие бесплатное, необходима регистрация.
Сайт конференции: https://www.isprasopen.ru/
👍8❤5🔥5🎉2❤🔥1
Обновления CodeScoring за сентябрь-ноябрь 2023 🚀
В середине осени мы добавили важный функционал для многих наших клиентов – возможность работы с контейнерными образами на инсталляции. Помимо этого, в течение последних трех месяцев было уделено много внимания модулю OSA и оптимизации продукта. Вот какие изменения произошли в CodeScoring:
1. Добавлена возможность сканирования образов из hosted и proxy Docker репозиториев на базе Sonatype Nexus Repository и JFrog Artifactory. Подробнее о работе с Docker-образами можно прочесть в документации.
2. Большое обновление получили плагины OSA для прокси-репозиториев: появилась возможность блокировки скачивания образов из Docker репозиториев при несоответствии политикам безопасности и настраивать режимы работы плагина.
3. Консольный агент Johnny теперь выводит сводную информацию о степени критичности уязвимостей, имеет возможность настройки формата таблицы с результатами сканирования, а также лучше разбирает манифесты .gradle.kts.
4. Уменьшен размер поставляемых Docker-образов CodeScoring.
5. Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов в OSA – теперь данные о загружаемом компоненте приходят быстрее.
6. Добавлен параметр Matched criteria в раздел Policy alerts. Параметр позволяет быстро узнать какое условие стало причиной срабатывания политики.
7. Добавлено новое условие политики – возраст уязвимости.
8. Добавлены метрики по количеству и времени запросов, а также статусу сканирования и блокировки компонента в CodeScoring OSA.
9. Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди.
10. Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API.
11. Добавлено скрытие пароля и токена в настройках подключения к Jira.
12. Добавлена возможность указания спецсимволов в пароле для подключения к базе данных.
13. Добавлено сохранение фильтров между вкладками в разделе Policy alerts
14. Возвращено моментальное удаление Policy Alert из списка Active после создания правила игнорирования политики.
15. Ускорена работа анализа при большом количестве Policy ignores.
16. Исправлены различные недочеты и ошибки в системе: дубликаты уязвимостей в SBOM с разными затронутыми версиями, отображение игнорируемых политик в разделе Policy Ignores, наличие полей Source files и Parents на странице зависимости, открытие страницы просмотра Policy Ignore и отображение ошибки git 128 при работе с VCS.
В середине осени мы добавили важный функционал для многих наших клиентов – возможность работы с контейнерными образами на инсталляции. Помимо этого, в течение последних трех месяцев было уделено много внимания модулю OSA и оптимизации продукта. Вот какие изменения произошли в CodeScoring:
1. Добавлена возможность сканирования образов из hosted и proxy Docker репозиториев на базе Sonatype Nexus Repository и JFrog Artifactory. Подробнее о работе с Docker-образами можно прочесть в документации.
2. Большое обновление получили плагины OSA для прокси-репозиториев: появилась возможность блокировки скачивания образов из Docker репозиториев при несоответствии политикам безопасности и настраивать режимы работы плагина.
3. Консольный агент Johnny теперь выводит сводную информацию о степени критичности уязвимостей, имеет возможность настройки формата таблицы с результатами сканирования, а также лучше разбирает манифесты .gradle.kts.
4. Уменьшен размер поставляемых Docker-образов CodeScoring.
5. Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов в OSA – теперь данные о загружаемом компоненте приходят быстрее.
6. Добавлен параметр Matched criteria в раздел Policy alerts. Параметр позволяет быстро узнать какое условие стало причиной срабатывания политики.
7. Добавлено новое условие политики – возраст уязвимости.
8. Добавлены метрики по количеству и времени запросов, а также статусу сканирования и блокировки компонента в CodeScoring OSA.
9. Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди.
10. Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API.
11. Добавлено скрытие пароля и токена в настройках подключения к Jira.
12. Добавлена возможность указания спецсимволов в пароле для подключения к базе данных.
13. Добавлено сохранение фильтров между вкладками в разделе Policy alerts
14. Возвращено моментальное удаление Policy Alert из списка Active после создания правила игнорирования политики.
15. Ускорена работа анализа при большом количестве Policy ignores.
16. Исправлены различные недочеты и ошибки в системе: дубликаты уязвимостей в SBOM с разными затронутыми версиями, отображение игнорируемых политик в разделе Policy Ignores, наличие полей Source files и Parents на странице зависимости, открытие страницы просмотра Policy Ignore и отображение ошибки git 128 при работе с VCS.
🔥13❤3👏2🎉2👍1
Команда CodeScoring поздравляет вас с наступающим Новым годом!
Благодарим наших заказчиков, партнеров и сообщество за веру в нас и наш продукт!
Ваше доверие и обратная связь являются для нас важным стимулом в совершенствовании CodeScoring и всех его сопутствующих частей.
Желаем всем побольше крутых проектов, надежного кода в конвейере и возможности быть на шаг впереди, а мы будем рядом.
И чтобыграфНовогоднее древо у вас вызывало только теплые чувства!
С Наступающим! Урра!
Благодарим наших заказчиков, партнеров и сообщество за веру в нас и наш продукт!
Ваше доверие и обратная связь являются для нас важным стимулом в совершенствовании CodeScoring и всех его сопутствующих частей.
Желаем всем побольше крутых проектов, надежного кода в конвейере и возможности быть на шаг впереди, а мы будем рядом.
И чтобы
С Наступающим! Урра!
❤13🎉12🔥4🎄2❤🔥1
CodeScoring на ТБФорум'24
В этом году CodeScoring выступает генеральным партнером конференции "Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО".
На нашем стенде (E60) с 13 по 15 февраля вы сможете задать все интересующие вопросы, лично познакомиться с нашей, ставшей уже легендарной, службой Заботы и узнать о ближайших планах развития продукта.
Планы и готовящиеся к выпуску киллер-фишки будут анонсированы в докладе "Эффективный композиционный анализ. Путь к успешному внедрению и упражнения на статику", который представит Алексей Смирнов 15 февраля.
Программа основного дня докладов доступна на сайте конференции.
🗓 13-15 февраля 2023
📍 Крокус Конгресс Холл, Москва
✅ Участие бесплатное, но регистрация обязательна (для прохода): https://www.tbforum.ru/visit-/codescoring
#ТБФорум
В этом году CodeScoring выступает генеральным партнером конференции "Подходы и инструменты управления процессом безопасной разработки. От сертификации СЗИ к сертификации РБПО".
На нашем стенде (E60) с 13 по 15 февраля вы сможете задать все интересующие вопросы, лично познакомиться с нашей, ставшей уже легендарной, службой Заботы и узнать о ближайших планах развития продукта.
Планы и готовящиеся к выпуску киллер-фишки будут анонсированы в докладе "Эффективный композиционный анализ. Путь к успешному внедрению и упражнения на статику", который представит Алексей Смирнов 15 февраля.
Программа основного дня докладов доступна на сайте конференции.
🗓 13-15 февраля 2023
📍 Крокус Конгресс Холл, Москва
✅ Участие бесплатное, но регистрация обязательна (для прохода): https://www.tbforum.ru/visit-/codescoring
#ТБФорум
🔥5❤4🎉3❤🔥1
Обновления CodeScoring за декабрь 2023 - январь 2024 🚀
За начало зимы мы расширили возможности добавления VCS, а также повысили удобство работы с проектами и добавили поддержку анализа новых языков программирования. Вот полный список свежих изменений:
1. Добавлена возможность экспортировать PDF-отчет с результатами сканирования проекта. Отчет содержит сводную информацию по найденным зависимостям и уязвимостям.
2. Добавлена поддержка анализа зависимостей Rust через манифесты
3. Добавлена поддержка анализа зависимостей Scala через манифесты
4. Добавлена возможность клонирования репозитория через протокол SSH.
5. Добавлен новый тип VCS "Other Git", позволяющий добавлять альтернативные платформы, использующие Git, например AWS CodeCommit.
6. Добавлено отображение количества найденных уязвимостей в списке раздела Projects.
7. Добавлен поиск по “вложенным уязвимостям” в разделе Vulnerabilities. При наличии одинаковой уязвимости в нескольких фидах – поиск будет показывать связанные записи.
8. Добавлена настройка отображения ID проекта в разделе Projects.
9. Добавлены нулевые значения в Prometheus метрики OSA API.
10. Автоматическое проведение анализа после клонирования VCS проекта стало опциональным.
11. Добавлена информация про архитектуру сканируемых образов на странице Container Image.
12. Добавлен фильтр Group на странице проектов.
13. Добавлена поддержка спецификации CycloneDX 1.5 при импорте SBOM.
14. Добавлены новые статусы блокировки компонентов в CodeScoring OSA. Теперь при загрузке компонента можно увидеть точную причину блокировки, помимо несоответствия политикам безопасности.
15. Консольный агент johnny теперь умеет производить резолв зависимостей в окружении для Go, Maven, Gradle и Yarn.
Помимо добавления новой функциональности, были исправлены недочеты и оптимизирована работа системы в следующих областях:
1. Улучшена производительность OSA.
2. Ускорена загрузка Complexity map в разделе Projects.
3. Исправлена ошибка при сортировке таблицы по полю CVSS3 Attack Complexity в разделе Vulnerabilities.
4. Исправлена некорректная работа OSA с пакетами, имеющими верхний регистр в версии.
За начало зимы мы расширили возможности добавления VCS, а также повысили удобство работы с проектами и добавили поддержку анализа новых языков программирования. Вот полный список свежих изменений:
1. Добавлена возможность экспортировать PDF-отчет с результатами сканирования проекта. Отчет содержит сводную информацию по найденным зависимостям и уязвимостям.
2. Добавлена поддержка анализа зависимостей Rust через манифесты
Cargo.lock, Cargo.toml.3. Добавлена поддержка анализа зависимостей Scala через манифесты
scala-dependency-tree.txt, sbt-dependency-tree.txt.4. Добавлена возможность клонирования репозитория через протокол SSH.
5. Добавлен новый тип VCS "Other Git", позволяющий добавлять альтернативные платформы, использующие Git, например AWS CodeCommit.
6. Добавлено отображение количества найденных уязвимостей в списке раздела Projects.
7. Добавлен поиск по “вложенным уязвимостям” в разделе Vulnerabilities. При наличии одинаковой уязвимости в нескольких фидах – поиск будет показывать связанные записи.
8. Добавлена настройка отображения ID проекта в разделе Projects.
9. Добавлены нулевые значения в Prometheus метрики OSA API.
10. Автоматическое проведение анализа после клонирования VCS проекта стало опциональным.
11. Добавлена информация про архитектуру сканируемых образов на странице Container Image.
12. Добавлен фильтр Group на странице проектов.
13. Добавлена поддержка спецификации CycloneDX 1.5 при импорте SBOM.
14. Добавлены новые статусы блокировки компонентов в CodeScoring OSA. Теперь при загрузке компонента можно увидеть точную причину блокировки, помимо несоответствия политикам безопасности.
15. Консольный агент johnny теперь умеет производить резолв зависимостей в окружении для Go, Maven, Gradle и Yarn.
Помимо добавления новой функциональности, были исправлены недочеты и оптимизирована работа системы в следующих областях:
1. Улучшена производительность OSA.
2. Ускорена загрузка Complexity map в разделе Projects.
3. Исправлена ошибка при сортировке таблицы по полю CVSS3 Attack Complexity в разделе Vulnerabilities.
4. Исправлена некорректная работа OSA с пакетами, имеющими верхний регистр в версии.
🔥15❤🔥3👍2
Обновления CodeScoring за февраль 2024 🚀
В этом месяце мы уделили больше внимания модулю TQI, а также реализовали несколько ожидаемых нововведений в работе с компонентами. Вот какие изменения произошли в CodeScoring:
1. Интегрирован фид уязвимостей из Банка данных угроз безопасности от ФСТЭК России. На данный момент эти уязвимости объединены с идентификаторами CVE, а поле BDU на странице уязвимости содержит ссылку на соответствующую запись в базе ФСТЭК.
2. Реализована cтраница для вывода информации о заблокированном в Nexus OSA компоненте. При попытке скачивания компонента, который не прошел проверку соответствия политикам, в консоли пользователя отображается ссылка на страницу данного компонента в CodeScoring.
3. Добавлено отображение статуса в истории SCA сканирований для проектов и образов. Статус имеет три возможных значения: success, failed или cancelled.
4. Добавлены новые метрики SCA на странице проекта. Теперь в начале страницы можно увидеть сводную информацию по истории сканирований, составу проекта и известным уязвимостям.
5. Добавлена таблица с коммитами на вкладке TQI страницы проекта.
6. Добавлено условие политики на поиск текстовой строки в PURL и соответствие PURL регулярному выражению. Это позволяет более гибко настроить политику на конкретный компонент.
7. Добавлена проверка на скрытые символы при вводе активационного ключа.
8. Реализован запуск анализа авторов и анализа клонов по одному проекту. Запуск доступен на вкладке TQI страницы проекта.
9. В Nexus OSA добавлено сообщение о блокировке для ситуаций, когда registry не добавлен в CodeScoring.
10. Изменена ориентация раздела Vulnerabilities в PDF отчете по проекту.
11. Уменьшен в два раза размер Docker-образа с консольным агентом johnny.
12. Оптимизирован механизм перерасчета политик. Теперь при изменении существующей политики или добавлении новой Policy Alerts будут появляться быстрее.
Помимо этого, было проведено много важных исправлений в области подключения LDAP, работы с контейнерными образами и проведения анализа TQI. Полный список изменений можно увидеть на странице Changelog в документации.
В этом месяце мы уделили больше внимания модулю TQI, а также реализовали несколько ожидаемых нововведений в работе с компонентами. Вот какие изменения произошли в CodeScoring:
1. Интегрирован фид уязвимостей из Банка данных угроз безопасности от ФСТЭК России. На данный момент эти уязвимости объединены с идентификаторами CVE, а поле BDU на странице уязвимости содержит ссылку на соответствующую запись в базе ФСТЭК.
2. Реализована cтраница для вывода информации о заблокированном в Nexus OSA компоненте. При попытке скачивания компонента, который не прошел проверку соответствия политикам, в консоли пользователя отображается ссылка на страницу данного компонента в CodeScoring.
3. Добавлено отображение статуса в истории SCA сканирований для проектов и образов. Статус имеет три возможных значения: success, failed или cancelled.
4. Добавлены новые метрики SCA на странице проекта. Теперь в начале страницы можно увидеть сводную информацию по истории сканирований, составу проекта и известным уязвимостям.
5. Добавлена таблица с коммитами на вкладке TQI страницы проекта.
6. Добавлено условие политики на поиск текстовой строки в PURL и соответствие PURL регулярному выражению. Это позволяет более гибко настроить политику на конкретный компонент.
7. Добавлена проверка на скрытые символы при вводе активационного ключа.
8. Реализован запуск анализа авторов и анализа клонов по одному проекту. Запуск доступен на вкладке TQI страницы проекта.
9. В Nexus OSA добавлено сообщение о блокировке для ситуаций, когда registry не добавлен в CodeScoring.
10. Изменена ориентация раздела Vulnerabilities в PDF отчете по проекту.
11. Уменьшен в два раза размер Docker-образа с консольным агентом johnny.
12. Оптимизирован механизм перерасчета политик. Теперь при изменении существующей политики или добавлении новой Policy Alerts будут появляться быстрее.
Помимо этого, было проведено много важных исправлений в области подключения LDAP, работы с контейнерными образами и проведения анализа TQI. Полный список изменений можно увидеть на странице Changelog в документации.
🔥8❤5👍2🎉2❤🔥1🙏1
Плагин CodeScoring для Jenkins
Начиная с версии 2024.13.0, пользователям CodeScoring доступен плагин с консольным агентом Johnny для CI/CD системы Jenkins. Плагин позволяет взаимодействовать с настройками агента непосредственно через интерфейс Jenkins и выполнять его оркестрацию.
Более подробно о новом функционале можно узнать в нашем блоге.
Начиная с версии 2024.13.0, пользователям CodeScoring доступен плагин с консольным агентом Johnny для CI/CD системы Jenkins. Плагин позволяет взаимодействовать с настройками агента непосредственно через интерфейс Jenkins и выполнять его оркестрацию.
Более подробно о новом функционале можно узнать в нашем блоге.
🔥13❤3🎉2❤🔥1
Обновления CodeScoring за март-апрель 2024 🚀
В начале весны команда CodeScoring реализовала важный функционал — возможность просматривать в интерфейсе результаты сканирования компонентов через плагины OSA для Nexus Repository Manager и JFrog Artifactory. Это не единственное заметное изменение, вот полный список нововведений с марта по апрель 2024 года:
1. Новый раздел Components даёт доступ к спискам компонентов и запросов в репозиториях с плагином OSA. Теперь на инсталляции можно увидеть подробную информацию по всем пакетам и контейнерным образам, проходящим через плагин;
2. Добавлена возможность настройки нескольких LDAP интеграций, а также маппинг LDAP групп на внутренние группы CodeScoring. Инструкцию по настройке LDAP можно найти в документации;
3. Добавлен вывод поля Matched criteria на странице контейнерного образа и в таблицу Policy Alerts на странице проекта. Поле позволяет узнать подробную информацию о причине блокировки;
4. Добавлены ссылки на уязвимости и лицензии в поле Matched criteria в разделе Policy Alerts;
5. Добавлен фильтр Group в разделе Vulnerabilities;
6. Добавлено поле Vulnerabilities в CSV-отчет по проектам;
7. Добавлены колонки и фильтры Scan schedule, Excluded from analysis и Scan with hashes в разделы с проектами. Данная информация помогает лучше понимать контекст сканирования проекта из списка;
8. Добавлена информация о предыдущем уровне доступа пользователя в Audit Log.
9. Добавлена поддержка нестандартных портов для SSH при добавлении VCS;
10. Добавлен процент схожести между авторами в разделе Authors;
11. Добавлена возможность указывать тип OSA компонента, для которого будет применяться политика. Сейчас это может быть пакет или контейнерный образ;
12. Добавлен поиск в условие политики по полю Technology. Теперь не нужно вводить значение технологии вручную при создании политики;
13. Добавлена метрика для просмотра занятых соединений c базой данных;
14. Оптимизирован запуск анализа и выгрузка SBoM CLI проекта.
Помимо этого, были проведены исправления в области выгрузки отчетов, обновления информации об уязвимостях и вычисления политик для проектов. Полный список изменений можно увидеть на странице Changelog в документации.
В начале весны команда CodeScoring реализовала важный функционал — возможность просматривать в интерфейсе результаты сканирования компонентов через плагины OSA для Nexus Repository Manager и JFrog Artifactory. Это не единственное заметное изменение, вот полный список нововведений с марта по апрель 2024 года:
1. Новый раздел Components даёт доступ к спискам компонентов и запросов в репозиториях с плагином OSA. Теперь на инсталляции можно увидеть подробную информацию по всем пакетам и контейнерным образам, проходящим через плагин;
2. Добавлена возможность настройки нескольких LDAP интеграций, а также маппинг LDAP групп на внутренние группы CodeScoring. Инструкцию по настройке LDAP можно найти в документации;
3. Добавлен вывод поля Matched criteria на странице контейнерного образа и в таблицу Policy Alerts на странице проекта. Поле позволяет узнать подробную информацию о причине блокировки;
4. Добавлены ссылки на уязвимости и лицензии в поле Matched criteria в разделе Policy Alerts;
5. Добавлен фильтр Group в разделе Vulnerabilities;
6. Добавлено поле Vulnerabilities в CSV-отчет по проектам;
7. Добавлены колонки и фильтры Scan schedule, Excluded from analysis и Scan with hashes в разделы с проектами. Данная информация помогает лучше понимать контекст сканирования проекта из списка;
8. Добавлена информация о предыдущем уровне доступа пользователя в Audit Log.
9. Добавлена поддержка нестандартных портов для SSH при добавлении VCS;
10. Добавлен процент схожести между авторами в разделе Authors;
11. Добавлена возможность указывать тип OSA компонента, для которого будет применяться политика. Сейчас это может быть пакет или контейнерный образ;
12. Добавлен поиск в условие политики по полю Technology. Теперь не нужно вводить значение технологии вручную при создании политики;
13. Добавлена метрика для просмотра занятых соединений c базой данных;
14. Оптимизирован запуск анализа и выгрузка SBoM CLI проекта.
Помимо этого, были проведены исправления в области выгрузки отчетов, обновления информации об уязвимостях и вычисления политик для проектов. Полный список изменений можно увидеть на странице Changelog в документации.
🔥13👍7❤4🎉3🙏1
Иванниковские чтения 2024
Команда CodeScoring приняла участие в Иванниковских чтениях, которые прошли в солнечном Новгороде в минувшую пятницу.
На конференции было много полезных и интересных докладов посвященных анализу и трансформации программ. Запись трансляции в наличии, а разметку таймингов и отдельные обзоры мы проведем у себя в канале Code Mining.
Помимо докладов были интересные мастер-классы и круглые столы. На столе по продкутизации технологий безопасной разработки выступил генеральный директор нашей компании Алексей Смирнов в качестве одного из модераторов. В широкой компании экспертов рынка обсудили боли пользователей инструментов и возможные подходы к исправлению возникающих ситуаций.
Мы благодарим ИСП РАН за душевную конференцию и обязательно приедем ещё!
Команда CodeScoring приняла участие в Иванниковских чтениях, которые прошли в солнечном Новгороде в минувшую пятницу.
На конференции было много полезных и интересных докладов посвященных анализу и трансформации программ. Запись трансляции в наличии, а разметку таймингов и отдельные обзоры мы проведем у себя в канале Code Mining.
Помимо докладов были интересные мастер-классы и круглые столы. На столе по продкутизации технологий безопасной разработки выступил генеральный директор нашей компании Алексей Смирнов в качестве одного из модераторов. В широкой компании экспертов рынка обсудили боли пользователей инструментов и возможные подходы к исправлению возникающих ситуаций.
Мы благодарим ИСП РАН за душевную конференцию и обязательно приедем ещё!
🔥12❤🔥7👍6❤4
23 мая в 12:00 выступаем в Лужниках с новым докладом в треке Secure development на PHDays Fest 2.
Полная программа доступна на сайте киберфестиваля. Приходите, будем рады встретить наших друзей, пользователей, партнеров и девиртуализироваться с коллегами по ту сторону “звонилки”.
Полная программа доступна на сайте киберфестиваля. Приходите, будем рады встретить наших друзей, пользователей, партнеров и девиртуализироваться с коллегами по ту сторону “звонилки”.
❤🔥15👍5❤3☃1🤩1
Открытые лекции в Бауманке!
27 мая, в рамках Школы фундаментальных технологий разработки безопасного ПО мы, совместно с Luntry, выступаем с открытыми лекциями.
Программа:
- 11:30—13:30, Алексей Смирнов, "Безопасное использование Open Source"
- 13:30—14:00, кофе-брейк
- 14:00—16:00, Дмитрий Евдокимов, "Безопасность инфраструктур под управлением оркестратора Kubernetes"
Компания Profiscope (да, это мы делаем CodeScoring) изначально поддерживает идеи открытого и доступного образования и обеспечивает учебные заведения не только образовательными лицензиями, но и профильными методическими материалами и живыми лекциями о современных технологиях и проблематиках безопасной разработки.
Приходите на лекцию, она открыта для всех желающих.
Регистрация для участия необходима.
Полная программа и все спикеры курса на сайте Школы.
27 мая, в рамках Школы фундаментальных технологий разработки безопасного ПО мы, совместно с Luntry, выступаем с открытыми лекциями.
Программа:
- 11:30—13:30, Алексей Смирнов, "Безопасное использование Open Source"
- 13:30—14:00, кофе-брейк
- 14:00—16:00, Дмитрий Евдокимов, "Безопасность инфраструктур под управлением оркестратора Kubernetes"
Компания Profiscope (да, это мы делаем CodeScoring) изначально поддерживает идеи открытого и доступного образования и обеспечивает учебные заведения не только образовательными лицензиями, но и профильными методическими материалами и живыми лекциями о современных технологиях и проблематиках безопасной разработки.
Приходите на лекцию, она открыта для всех желающих.
Регистрация для участия необходима.
Полная программа и все спикеры курса на сайте Школы.
❤🔥7🔥5👍4🎉3
CodeScoring june roadshow
В июне мы выступаем на трех мероприятиях, приходите! Будем рады оффлайн общению, вопросам и просто душевным историям.
🔥 18 июня. Митап ЦУПИС Intelligence
"Проблема транзитивных Open Source зависимостей"
🔥 20 июня. Kaspersky Certification Day
"Стандартизация работы со сторонними компонентами при разработке ПО"
🔥 27 июня. GigaConf 2024
"Безопасный Open Source: тренды и предпосылки новых трендов"
❗️Все участия бесплатные, но регистрация обязательна!
В июне мы выступаем на трех мероприятиях, приходите! Будем рады оффлайн общению, вопросам и просто душевным историям.
🔥 18 июня. Митап ЦУПИС Intelligence
"Проблема транзитивных Open Source зависимостей"
🔥 20 июня. Kaspersky Certification Day
"Стандартизация работы со сторонними компонентами при разработке ПО"
🔥 27 июня. GigaConf 2024
"Безопасный Open Source: тренды и предпосылки новых трендов"
❗️Все участия бесплатные, но регистрация обязательна!
❤🔥8🔥7❤5🎅1
Обновления CodeScoring за май-июнь 2024 🚀
За последние два месяца в CodeScoring было улучшено взаимодействие между инсталляцией и плагинами OSA, расширены возможности консольного агента, а также повышено удобство работы с интерфейсом системы. Вот самое важное из нового функционала:
1. Добавлена возможность подключения менеджеров репозиториев на инсталляции для связи с плагином CodeScoring OSA в Nexus Repository Manager и JFrog Artifactory. Это позволяет использовать фильтры по отдельным репозиториям и экосистемам в разделе Components для удобного просмотра списков просканированных компонентов и запросов по ним. Подробнее узнать о процессе подключения можно в документации.
2. В консольном агенте johnny добавлено разрешение зависимостей в окружении сборки для .NET, npm и Poetry. Подробнее про разрешение зависимостей в окружении можно прочесть в документации.
3. В плагин Nexus OSA добавлена Capability CodeScoring All Repositories Scan, которая активирует сканирование для всех репозиториев. Теперь необязательно настраивать Capability для каждого отдельного репозитория.
4. Теперь можно настроить политики безопасности для отдельных репозиториев, связанных с плагином OSA, а также на отдельные типы артефактов – Docker-образы или пакеты.
5. Добавлена возможность игнорирования Policy Alerts по PURL.
6. Добавлена настройка соответствия LDAP группы и уровня доступа пользователя.
7. Добавлена проверка доступности Container Registry перед запуском сканирования образа на инсталляции. В случае если реестр образов недоступен – кнопка сканирования будет деактивирована.
8. Добавлено описание методов OSA API в Swagger.
9. Добавлена ссылка на причину блокировки в свойства компонента Nexus.
10. Также в плагине теперь есть возможность указания собственного сообщения о блокировке в ответе на запрос компонента.
Помимо перечисленных нововведений, был улучшен парсинг манифестов в johnny, ускорен поиск в разделах Dependencies, Policy Alerts и Components, а также исправлены ошибки отображения некоторых разделов. Полный список изменений можно увидеть на странице Changelog в документации.
За последние два месяца в CodeScoring было улучшено взаимодействие между инсталляцией и плагинами OSA, расширены возможности консольного агента, а также повышено удобство работы с интерфейсом системы. Вот самое важное из нового функционала:
1. Добавлена возможность подключения менеджеров репозиториев на инсталляции для связи с плагином CodeScoring OSA в Nexus Repository Manager и JFrog Artifactory. Это позволяет использовать фильтры по отдельным репозиториям и экосистемам в разделе Components для удобного просмотра списков просканированных компонентов и запросов по ним. Подробнее узнать о процессе подключения можно в документации.
2. В консольном агенте johnny добавлено разрешение зависимостей в окружении сборки для .NET, npm и Poetry. Подробнее про разрешение зависимостей в окружении можно прочесть в документации.
3. В плагин Nexus OSA добавлена Capability CodeScoring All Repositories Scan, которая активирует сканирование для всех репозиториев. Теперь необязательно настраивать Capability для каждого отдельного репозитория.
4. Теперь можно настроить политики безопасности для отдельных репозиториев, связанных с плагином OSA, а также на отдельные типы артефактов – Docker-образы или пакеты.
5. Добавлена возможность игнорирования Policy Alerts по PURL.
6. Добавлена настройка соответствия LDAP группы и уровня доступа пользователя.
7. Добавлена проверка доступности Container Registry перед запуском сканирования образа на инсталляции. В случае если реестр образов недоступен – кнопка сканирования будет деактивирована.
8. Добавлено описание методов OSA API в Swagger.
9. Добавлена ссылка на причину блокировки в свойства компонента Nexus.
10. Также в плагине теперь есть возможность указания собственного сообщения о блокировке в ответе на запрос компонента.
Помимо перечисленных нововведений, был улучшен парсинг манифестов в johnny, ускорен поиск в разделах Dependencies, Policy Alerts и Components, а также исправлены ошибки отображения некоторых разделов. Полный список изменений можно увидеть на странице Changelog в документации.
❤🔥16🔥13❤5👍4
Новый механизм формирования политик в CodeScoring
Политики – это основной инструмент специалиста AppSec в системе CodeScoring. Он позволяет гибко настроить сценарии реагирования на события безопасности и контролировать работу с Open Source компонентами.
Начиная с версии 2024.28.0, работать с политиками стало еще удобнее. С помощью объединения условий в группы с разными логическими выражениями можно создать сценарии, которые раньше были доступны только при создании нескольких политик.
Подробнее прочитать о новом функционале и увидеть примеры реализации можно в нашей статье.
Политики – это основной инструмент специалиста AppSec в системе CodeScoring. Он позволяет гибко настроить сценарии реагирования на события безопасности и контролировать работу с Open Source компонентами.
Начиная с версии 2024.28.0, работать с политиками стало еще удобнее. С помощью объединения условий в группы с разными логическими выражениями можно создать сценарии, которые раньше были доступны только при создании нескольких политик.
Подробнее прочитать о новом функционале и увидеть примеры реализации можно в нашей статье.
❤10🎉6🔥5❤🔥2🤩1
Обновления CodeScoring за июль-сентябрь 2024 🚀
В середине лета команда CodeScoring реализовала новый механизм настройки политик безопасности, который включает в себя гибкое комбинирование условий с помощью логических выражений. Заметные изменения претерпел и другой функционал в системе, вот полный список нововведений с июля по сентябрь 2024 года:
1. Реализован новый подход к настройке политик безопасности. Подробнее про него можно прочитать в нашей статье.
2. Добавлено новое условие для политик – количество уязвимостей в зависимости.
3. Реализовано фоновое формирование скачиваемых файлов и ускорена их раздача – экспорт PDF и CSV отчетов стал значительно быстрее, а управлять их загрузкой стало удобнее.
4. Расширен дашборд на главной странице системы – теперь там можно найти метрики OSA и количество блокирующих Policy Alerts.
5. Добавлена возможность указывать лицензию для CLI проектов при создании через консольного агента.
6. Дополнен список типов репозиториев. Теперь в разделе Repository Managers отображаются все репозитории внутри подключаемых менеджеров Nexus и Jfrog.
7. Добавлена поддержка Bearer авторизации для Container Registries.
8. Обновлен функционал, связанный с LDAP – в его рамках реализован поиск групп через записи об атрибутах пользователей, пагинация и улучшенные инструменты диагностики.
9. Добавлена возможность запускать сканирование проекта через интерфейс параллельно сканированию в Johnny. Это полезно в случаях, когда проверка одного и того же проекта происходит на нескольких этапах разработки.
10. Добавлена информация о количестве созданных Policy Alerts для каждой политики в разделе Policies.
11. Добавлен фильтр по дате последнего запроса в раздел Container Images.
12. Добавлена таблица с командой на страницу проекта – управлять списком авторов проекта теперь можно сразу из вкладки TQI.
13. Добавлена возможность экспорта в CSV в разделе Components.
14. Расширен функционал консольного агента Johnny – теперь используемые парсеры для каждой экосистемы можно настраивать через файл конфигурации, а также добавилась выгрузка ссылок и CWE в формат sarif.
15. Добавлена поддержка новых типов репозиториев в JFrog OSA – cargo и composer, а также добавлен флаг для сохранения результатов сканирования в свойства артефакта.
16. Ускорена работа разделов Components и Dependencies.
17. Ускорен SCA анализ в случаях, когда в рамках манифеста один и тот же пакет встречается множество раз.
Помимо этого, были проведены работы по оптимизации потребления памяти при генерации PDF-отчетов, а также исправлены ошибки с экспортом CSV, отображения Matched Criteria и расчета статуса блокировки в OSA. Полный список изменений можно увидеть на странице Changelog в документации.
В середине лета команда CodeScoring реализовала новый механизм настройки политик безопасности, который включает в себя гибкое комбинирование условий с помощью логических выражений. Заметные изменения претерпел и другой функционал в системе, вот полный список нововведений с июля по сентябрь 2024 года:
1. Реализован новый подход к настройке политик безопасности. Подробнее про него можно прочитать в нашей статье.
2. Добавлено новое условие для политик – количество уязвимостей в зависимости.
3. Реализовано фоновое формирование скачиваемых файлов и ускорена их раздача – экспорт PDF и CSV отчетов стал значительно быстрее, а управлять их загрузкой стало удобнее.
4. Расширен дашборд на главной странице системы – теперь там можно найти метрики OSA и количество блокирующих Policy Alerts.
5. Добавлена возможность указывать лицензию для CLI проектов при создании через консольного агента.
6. Дополнен список типов репозиториев. Теперь в разделе Repository Managers отображаются все репозитории внутри подключаемых менеджеров Nexus и Jfrog.
7. Добавлена поддержка Bearer авторизации для Container Registries.
8. Обновлен функционал, связанный с LDAP – в его рамках реализован поиск групп через записи об атрибутах пользователей, пагинация и улучшенные инструменты диагностики.
9. Добавлена возможность запускать сканирование проекта через интерфейс параллельно сканированию в Johnny. Это полезно в случаях, когда проверка одного и того же проекта происходит на нескольких этапах разработки.
10. Добавлена информация о количестве созданных Policy Alerts для каждой политики в разделе Policies.
11. Добавлен фильтр по дате последнего запроса в раздел Container Images.
12. Добавлена таблица с командой на страницу проекта – управлять списком авторов проекта теперь можно сразу из вкладки TQI.
13. Добавлена возможность экспорта в CSV в разделе Components.
14. Расширен функционал консольного агента Johnny – теперь используемые парсеры для каждой экосистемы можно настраивать через файл конфигурации, а также добавилась выгрузка ссылок и CWE в формат sarif.
15. Добавлена поддержка новых типов репозиториев в JFrog OSA – cargo и composer, а также добавлен флаг для сохранения результатов сканирования в свойства артефакта.
16. Ускорена работа разделов Components и Dependencies.
17. Ускорен SCA анализ в случаях, когда в рамках манифеста один и тот же пакет встречается множество раз.
Помимо этого, были проведены работы по оптимизации потребления памяти при генерации PDF-отчетов, а также исправлены ошибки с экспортом CSV, отображения Matched Criteria и расчета статуса блокировки в OSA. Полный список изменений можно увидеть на странице Changelog в документации.
❤🔥13🔥12🎉6👏2
🐻 Поддержка платформы GitFlic в CodeScoring
В конце августа компания «РеСолют» (входит в «Группу Астра») объявила об успешном тестировании платформы для разработки кода GitFlic на совместимость с CodeScoring.
GitFlic – это первая российская платформа для разработки, с помощью которой можно решать такие задачи как хранение кода, непрерывная интеграция, управление репозиториями и внедрение инструментов информационной безопасности.
Совместное использование CodeScoring и GitFlic позволит разработчикам и специалистам в области безопасной разработки иметь полную картину работы с заимствованными компонентами и определять потенциальные угрозы на раннем этапе. Инструкция по внедрению проверок безопасности в GitFlic CI уже доступна в документации CodeScoring.
Подобные интеграции на горизонтальном уровне помогают усилить присутствие отечественных решений на рынке и способствуют дальнейшему развитию экосистемы безопасного программного обеспечения.
В конце августа компания «РеСолют» (входит в «Группу Астра») объявила об успешном тестировании платформы для разработки кода GitFlic на совместимость с CodeScoring.
GitFlic – это первая российская платформа для разработки, с помощью которой можно решать такие задачи как хранение кода, непрерывная интеграция, управление репозиториями и внедрение инструментов информационной безопасности.
Совместное использование CodeScoring и GitFlic позволит разработчикам и специалистам в области безопасной разработки иметь полную картину работы с заимствованными компонентами и определять потенциальные угрозы на раннем этапе. Инструкция по внедрению проверок безопасности в GitFlic CI уже доступна в документации CodeScoring.
Подобные интеграции на горизонтальном уровне помогают усилить присутствие отечественных решений на рынке и способствуют дальнейшему развитию экосистемы безопасного программного обеспечения.
🔥14🎉12❤🔥6