Обновления CodeScoring за декабрь 2024 🚀

Под конец уходящего года мы ввели новые возможности анализа, более явно разделили модули в интерфейсе и повысили удобство работы с системой. Вот главные нововведения в CodeScoring за декабрь:

Анализ сборки С и С++

Консольный агент Johnny теперь умеет анализировать процесс сборки для языков С и С++, выявляя использованные библиотеки через флаги компилятора. Подробнее о новом виде анализа можно прочитать в документации CodeScoring.

Новая организация разделов в системе

Вести работу с отдельными модулями стало удобнее. Разделы в меню более явно группируют функционал, а списки проектов разделены по своему назначению.

Поддержка экосистемы Conda

Теперь в CodeScoring можно анализировать проекты, использующие пакетный менеджер Conda. Полный список поддерживаемых манифестов расположен в документации.

Улучшения в интерфейсе

В интерфейсе CodeScoring реализованы улучшения, которые делают работу с системой более гибкой и эффективной:

1. Теперь пользователи могут выбирать сразу несколько проектов и образов при создании игнорирования политики.

2. В списке проектов теперь отображаются даты первого и последнего SCA-сканирования, что упрощает отслеживание их активности.

3. Для раздела Container Images добавлен новый фильтр, позволяющий искать образы по их тэгам. А в разделах Vulnerabilities, Policy Alerts и Projects появилась возможность фильтровать элементы по нескольким значениям Severity, Policy и Technology одновременно.

4. В разделе Secrets реализовано отдельное окно для полного отображения секретов.

5. Дополнена локализация системы.

Новые параметры консольного агента

Результаты работы консольного агента теперь можно выгрузить в двух новых форматах – GitLab Dependency Scanning Report и GitLab Code Quality Report.

Добавилась возможность указывать метаданные компонентов, такие как ссылка на ветку/тэг и коммит в VCS, а также хэш контейнерного образа.

Помимо этого, теперь можно запускать агент без ожидания результатов анализа и указывать policy stage при создании CLI проекта.

Полный список изменений можно увидеть на странице Changelog в документации.

CodeScoring на ТБ Форум 2025


🎉 30-й юбилейный ТБ Форум
📅 11–13 февраля 2025 года
📌 МВЦ «Крокус Экспо», павильон 2, зал 10

Участие в ТБ Форуме стало для нас хорошей традицией! Уже три года подряд мы вместе и второй год CodeScoring поддерживает мероприятие в качестве генерального партнера.

👉 Загляните на наш демо-стенд (H01), чтобы:

- поделиться своими задачами и узнать больше про CodeScoring
- пообщаться с легендарной Службой заботы (да, они всё такие же крутые, как вы слышали)
- узнать, что мы готовим в ближайших релизах

А 13 февраля Алексей Смирнов в блоке «Эксперты и экспертиза РБПО. Вызовы нашего времени» представит доклад: «Построение процесса безопасной разработки: от общего к частностям». Не пропустите!

📋 Программа форума уже доступна. Участие бесплатное, но важно зарегистрироваться.

Приходите, чтобы быть в курсе главных трендов и обсудить будущее кибербезопасности.

#ТБФорум #события

🚀 Обновление CodeScoring 2025.7.0: расширенные возможности консольного агента, дополнительные настройки проектов и другие нововведения

За последние месяцы мы добавили новые механизмы анализа, упростили управление проектами и оптимизировали работу интерфейса. Вот какие изменения произошли в версии 2025.7.0:

Сканирование отдельных технологий и улучшения консольного агента

Теперь консольный агент Johnny позволяет сканировать директории с предустановленными настройками для разных технологий. Это значительно упрощает процесс анализа, так как в этом случае не требуется вручную настраивать параметры для каждого проекта. Например, команда johnny scan java будет обрабатывать только манифесты для Java с использованием парсеров и разрешением зависимостей в окружении конкретно для данного языка.

Помимо этого в Johnny появилось два важных нововведения:

1. В отчеты теперь добавляется информация о наличии эксплойтов для найденных уязвимостей. Это позволяет быстрее оценивать критичность угроз и реагировать на них приоритетно;
2. Поддержаны механизмы Selective dependency resolutions для Yarn и NPM Package aliases. Теперь агент корректно обрабатывает случаи подмены названия пакетов и фиксации версии.

Расширенные настройки проектов

Настройки проектов теперь удобно разделены по модулям, и в них добавлены новые опции: отключение облачного резолва, игнорирование файлов, а также включение и отключение рекурсивного поиска.

Обновленная визуализация в модуле TQI

Карты сложности проектов, активности авторов и дубликатов в модуле TQI стали удобнее и современнее. В них добавлена интуитивная навигация, новый дизайн и дополнительные фильтры.

Новые механизмы мониторинга и интеграции

1. Реализованы вебхуки для событий модуля Secrets.
2. Добавлен вывод метрики доступности Index API.
3. Теперь можно отключать проверку TLS при подключении к приватным реестрам Docker-образов с самоподписанными сертификатами, упрощая интеграцию.

Другие улучшения инсталляции

1. В интерфейсе управления полями зависимостей появилась возможность выбора лицензии.
2. При создании политики теперь можно сразу выбрать группу, а также добавлять проекты без предварительного выбора подразделения.
3. Оптимизирована работа списка зависимостей в SCA и списка запросов в OSA.
4. Улучшено сохранение состояния фильтров и пагинации при редактировании зависимостей.

Полный список изменений можно увидеть на странице Changelog в документации.

Уже через 10 минут мы начинаем наш вебинар "Безопасное использование Open Source и эффективный поиск секретов с CodeScoring".

Присоединяйтесь!
https://my.mts-link.ru/j/CodeScoring/CS_1_25

🚀 Обновление CodeScoring 2025.13.0: анализ секретов в CI/CD, новые возможности уведомлений и поддержка Swift

В версии 2025.13.0 мы добавили анализ секретов с помощью консольного агента Johnny, значительно обновили конфигурацию CodeScoring в Docker Compose, расширили поддержку экосистем и добавили новые гибкие настройки уведомлений. Вот что изменилось:

Анализ секретов в CI/CD

Консольный агент Johnny теперь умеет анализировать директории на наличие секретов. Более подробно об этой функциональности можно узнать в документации.

Также, появилась история сканирования секретов в проектах.

Обновление конфигурации Docker Compose

Конфигурация CodeScoring в Docker Compose претерпела глубокую модернизацию. Перед обновлением ознакомьтесь с инструкцией, чтобы избежать возможных проблем при переходе.

Поддержка Swift Package Manager

Теперь CodeScoring поддерживает анализ манифестов Swift. Johnny научился разбирать файлы Package.swift и Package.resolved и анализировать зависимости данной экосистемы.

Новые настройки уведомлений и создания задач

1. Теперь можно гибко настраивать отправку Email-уведомлений и создание задач в Jira на отдельные группы и проекты a в рамках одной политики.
2. Добавлены два режима отправки уведомлений и создания задач: отдельное письмо/задача на каждый алерт или единый дайджест по всему сканированию.

Дополнительные изменения и улучшения

1. В словарные политики добавлен оператор "не соответствует".
2. Улучшена валидация паролей при создании нового пользователя и смене пароля.
3. Исправлены ошибки в фильтрации, сортировке и отображении данных в различных модулях.
4. Оптимизирована работа страницы политик и обновление информации об уязвимостях.

Полный список изменений можно увидеть на странице Changelog в документации.

Агент Johnny раскрыт! Смотрим на CodeScoring под микроскопом Natch

Наши коллеги по цеху безопасной разработки ИСП РАН, НТЦ «Фобос-НТ», «Базальт СПО» и мы, провели исследование CodeScoring при помощи инструмента Natch.

Natch — это инструмент от ИСП РАН, использующий динамический анализ, для определения поверхности атаки приложений и систем, основанный на полносистемном эмуляторе QEMU.

👀 По ссылке будет сложно, но интересно:
https://habr.com/ru/companies/isp_ras/articles/892548/

Авторы: Андрей Слепых, Никита Бесперстов, Павел Довгалюк.

CodeScoring — партнер PHDays!

В этом году мы впервые участвуем в статусе партнёра фестиваля. Специально для наших заказчиков и партнеров мы организуем собственную лаунж-зону в Лужниках (№36 на 4ом этаже). Мы будем рады пообщаться все 3 дня и обсудить текущие вопросы, перспективные проекты и амбициозные задачи, которые мы ставим перед собой.

Чтобы организовать встречу с руководителями продукта, коммерческим департаментом и службой заботы — смело пишите @maria_codescoring.

Кроме того, на фестивале мы представим четыре доклада в разных секциях:

[22 мая]
- 11:00, зал Лавлейс, «Моделируем влияние проверок безопасности на разных этапах разработки», Алексей Смирнов
- 12:30, зал Братьев Райт, «На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации», Иван Соломатин

[23 мая]
- 15:00, зал Попов, «Новый log4shell, о котором вам забыли рассказать», Алексей Смирнов и Никита Бесперстов
- 16:00, научпоп-сцена Kulibin, «Атака на пакет с пакетами: уязвимости в цепочках поставок», Антон Володченко

До встречи!

PS. Говорят, что ожидается новый дроп мерча

🚀 Обновление CodeScoring 2025.21.0: политика на протестное ПО, использование eBPF в анализе С/С++, адаптивный интерфейс и улучшения безопасности

В версии 2025.21.0 мы добавили поддержку новых сценариев анализа, обновили работу с политиками безопасности, расширили возможности Johnny и сделали интерфейс системы удобнее для работы с разных устройств. Вот что изменилось:

Фид и новая политика: протестное ПО

В CodeScoring добавился собственный фид protestware и новое условие политики – “Зависимость является протестным ПО”. Оно позволяет выявлять компоненты, заведомо содержащие деструктивный или идеологически окрашенный код. Для таких угроз используется новый идентификатор CSPW, и они теперь могут отслеживаться и блокироваться в рамках политик безопасности.

Использование eBPF в анализе сборок C/C++ и другие обновления агента

В консольном агенте появилась команда scan build ebpf, которая позволяет анализировать C/C++ проекты с использованием eBPF – технологии отслеживания событий на уровне ядра Linux. Это делает возможным более глубокий сбор данных во время сборки.

Также добавлены следующие улучшения агента:
1. В выгрузке SARIF теперь есть информация о типе связи зависимости: direct или indirect, а также исправлена выгрузка уязвимостей без численной оценки.
2. Обновлён парсинг требований в манифестах Python (включая версии вида `==3.0.0.post`).
3. В Go-окружении исключаются транзитивные зависимости без определённого родителя.

Выбор ветки для SCA в VCS проектах и расширенная работа с результатами анализа

При запуске SCA-анализа теперь можно выбрать нужную ветку или тег в VCS-проекте без смены ветки по умолчанию. Это удобно для точечной проверки, особенно при работе с релизными ветками. Также инсталляция теперь позволяет создание нескольких VCS проектов для одного и того же репозитория.

В работе с политиками и результатами анализа произошли следующие изменения:
1. При создании и редактировании политики можно указать проект независимо от выбранных групп и владельцев.
2. Добавлен фильтр по технологиям в разделе “Алерты”.
3. В раздел “Игноры политики” появилась колонка “Заметка”.

Улучшения интерфейса и фильтров

Интерфейс CodeScoring стал адаптивным – теперь им удобно пользоваться на планшетах и смартфонах. Мы также переработали фильтры по всей системе:
1. Добавлены новые фильтры в разделах “Алерты”, “Зависимости”, “Реестры”, “История сканирований”.
2. Фильтры загружаются по запросу (lazy load).
3. Ускорена работа фильтров.

Другие обновления инсталляции

1. Добавлена поддержка TLS для PostgreSQL и PgBouncer в Docker Compose.
2. Введено ограничение на количество попыток входа от одного пользователя.
3. Улучшена валидация международных телефонных номеров.
4. Исправлены ошибки сортировки уязвимостей и экспорта CSV.
5. Улучшена работа масштабирования карт в модуле TQI.
6. Улучшена локализация.
7. Оптимизированы запросы для снижения нагрузки на инсталляцию.

Полный список изменений можно увидеть на странице Changelog в документации.