Агент Johnny раскрыт! Смотрим на CodeScoring под микроскопом Natch
Наши коллеги по цеху безопасной разработки ИСП РАН, НТЦ «Фобос-НТ», «Базальт СПО» и мы, провели исследование CodeScoring при помощи инструмента Natch.
Natch — это инструмент от ИСП РАН, использующий динамический анализ, для определения поверхности атаки приложений и систем, основанный на полносистемном эмуляторе QEMU.
👀 По ссылке будет сложно, но интересно:
https://habr.com/ru/companies/isp_ras/articles/892548/
Авторы: Андрей Слепых, Никита Бесперстов, Павел Довгалюк.
Наши коллеги по цеху безопасной разработки ИСП РАН, НТЦ «Фобос-НТ», «Базальт СПО» и мы, провели исследование CodeScoring при помощи инструмента Natch.
Natch — это инструмент от ИСП РАН, использующий динамический анализ, для определения поверхности атаки приложений и систем, основанный на полносистемном эмуляторе QEMU.
👀 По ссылке будет сложно, но интересно:
https://habr.com/ru/companies/isp_ras/articles/892548/
Авторы: Андрей Слепых, Никита Бесперстов, Павел Довгалюк.
🔥18❤5👍5🤩3
CodeScoring — партнер PHDays!
В этом году мы впервые участвуем в статусе партнёра фестиваля. Специально для наших заказчиков и партнеров мы организуем собственную лаунж-зону в Лужниках (№36 на 4ом этаже). Мы будем рады пообщаться все 3 дня и обсудить текущие вопросы, перспективные проекты и амбициозные задачи, которые мы ставим перед собой.
Чтобы организовать встречу с руководителями продукта, коммерческим департаментом и службой заботы — смело пишите @maria_codescoring.
Кроме того, на фестивале мы представим четыре доклада в разных секциях:
[22 мая]
- 11:00, зал Лавлейс, «Моделируем влияние проверок безопасности на разных этапах разработки», Алексей Смирнов
- 12:30, зал Братьев Райт, «На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации», Иван Соломатин
[23 мая]
- 15:00, зал Попов, «Новый log4shell, о котором вам забыли рассказать», Алексей Смирнов и Никита Бесперстов
- 16:00, научпоп-сцена Kulibin, «Атака на пакет с пакетами: уязвимости в цепочках поставок», Антон Володченко
До встречи!
PS. Говорят, что ожидается новый дроп мерча
В этом году мы впервые участвуем в статусе партнёра фестиваля. Специально для наших заказчиков и партнеров мы организуем собственную лаунж-зону в Лужниках (№36 на 4ом этаже). Мы будем рады пообщаться все 3 дня и обсудить текущие вопросы, перспективные проекты и амбициозные задачи, которые мы ставим перед собой.
Чтобы организовать встречу с руководителями продукта, коммерческим департаментом и службой заботы — смело пишите @maria_codescoring.
Кроме того, на фестивале мы представим четыре доклада в разных секциях:
[22 мая]
- 11:00, зал Лавлейс, «Моделируем влияние проверок безопасности на разных этапах разработки», Алексей Смирнов
- 12:30, зал Братьев Райт, «На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации», Иван Соломатин
[23 мая]
- 15:00, зал Попов, «Новый log4shell, о котором вам забыли рассказать», Алексей Смирнов и Никита Бесперстов
- 16:00, научпоп-сцена Kulibin, «Атака на пакет с пакетами: уязвимости в цепочках поставок», Антон Володченко
До встречи!
PS. Говорят, что ожидается новый дроп мерча
🔥18❤🔥8❤5🙏1
This media is not supported in your browser
VIEW IN TELEGRAM
🚀 Обновление CodeScoring 2025.21.0: политика на протестное ПО, использование eBPF в анализе С/С++, адаптивный интерфейс и улучшения безопасности
В версии 2025.21.0 мы добавили поддержку новых сценариев анализа, обновили работу с политиками безопасности, расширили возможности Johnny и сделали интерфейс системы удобнее для работы с разных устройств. Вот что изменилось:
Фид и новая политика: протестное ПО
В CodeScoring добавился собственный фид protestware и новое условие политики – “Зависимость является протестным ПО”. Оно позволяет выявлять компоненты, заведомо содержащие деструктивный или идеологически окрашенный код. Для таких угроз используется новый идентификатор CSPW, и они теперь могут отслеживаться и блокироваться в рамках политик безопасности.
Использование eBPF в анализе сборок C/C++ и другие обновления агента
В консольном агенте появилась команда scan build ebpf, которая позволяет анализировать C/C++ проекты с использованием eBPF – технологии отслеживания событий на уровне ядра Linux. Это делает возможным более глубокий сбор данных во время сборки.
Также добавлены следующие улучшения агента:
1. В выгрузке SARIF теперь есть информация о типе связи зависимости: direct или indirect, а также исправлена выгрузка уязвимостей без численной оценки.
2. Обновлён парсинг требований в манифестах Python (включая версии вида `==3.0.0.post`).
3. В Go-окружении исключаются транзитивные зависимости без определённого родителя.
Выбор ветки для SCA в VCS проектах и расширенная работа с результатами анализа
При запуске SCA-анализа теперь можно выбрать нужную ветку или тег в VCS-проекте без смены ветки по умолчанию. Это удобно для точечной проверки, особенно при работе с релизными ветками. Также инсталляция теперь позволяет создание нескольких VCS проектов для одного и того же репозитория.
В работе с политиками и результатами анализа произошли следующие изменения:
1. При создании и редактировании политики можно указать проект независимо от выбранных групп и владельцев.
2. Добавлен фильтр по технологиям в разделе “Алерты”.
3. В раздел “Игноры политики” появилась колонка “Заметка”.
Улучшения интерфейса и фильтров
Интерфейс CodeScoring стал адаптивным – теперь им удобно пользоваться на планшетах и смартфонах. Мы также переработали фильтры по всей системе:
1. Добавлены новые фильтры в разделах “Алерты”, “Зависимости”, “Реестры”, “История сканирований”.
2. Фильтры загружаются по запросу (lazy load).
3. Ускорена работа фильтров.
Другие обновления инсталляции
1. Добавлена поддержка TLS для PostgreSQL и PgBouncer в Docker Compose.
2. Введено ограничение на количество попыток входа от одного пользователя.
3. Улучшена валидация международных телефонных номеров.
4. Исправлены ошибки сортировки уязвимостей и экспорта CSV.
5. Улучшена работа масштабирования карт в модуле TQI.
6. Улучшена локализация.
7. Оптимизированы запросы для снижения нагрузки на инсталляцию.
Полный список изменений можно увидеть на странице Changelog в документации.
В версии 2025.21.0 мы добавили поддержку новых сценариев анализа, обновили работу с политиками безопасности, расширили возможности Johnny и сделали интерфейс системы удобнее для работы с разных устройств. Вот что изменилось:
Фид и новая политика: протестное ПО
В CodeScoring добавился собственный фид protestware и новое условие политики – “Зависимость является протестным ПО”. Оно позволяет выявлять компоненты, заведомо содержащие деструктивный или идеологически окрашенный код. Для таких угроз используется новый идентификатор CSPW, и они теперь могут отслеживаться и блокироваться в рамках политик безопасности.
Использование eBPF в анализе сборок C/C++ и другие обновления агента
В консольном агенте появилась команда scan build ebpf, которая позволяет анализировать C/C++ проекты с использованием eBPF – технологии отслеживания событий на уровне ядра Linux. Это делает возможным более глубокий сбор данных во время сборки.
Также добавлены следующие улучшения агента:
1. В выгрузке SARIF теперь есть информация о типе связи зависимости: direct или indirect, а также исправлена выгрузка уязвимостей без численной оценки.
2. Обновлён парсинг требований в манифестах Python (включая версии вида `==3.0.0.post`).
3. В Go-окружении исключаются транзитивные зависимости без определённого родителя.
Выбор ветки для SCA в VCS проектах и расширенная работа с результатами анализа
При запуске SCA-анализа теперь можно выбрать нужную ветку или тег в VCS-проекте без смены ветки по умолчанию. Это удобно для точечной проверки, особенно при работе с релизными ветками. Также инсталляция теперь позволяет создание нескольких VCS проектов для одного и того же репозитория.
В работе с политиками и результатами анализа произошли следующие изменения:
1. При создании и редактировании политики можно указать проект независимо от выбранных групп и владельцев.
2. Добавлен фильтр по технологиям в разделе “Алерты”.
3. В раздел “Игноры политики” появилась колонка “Заметка”.
Улучшения интерфейса и фильтров
Интерфейс CodeScoring стал адаптивным – теперь им удобно пользоваться на планшетах и смартфонах. Мы также переработали фильтры по всей системе:
1. Добавлены новые фильтры в разделах “Алерты”, “Зависимости”, “Реестры”, “История сканирований”.
2. Фильтры загружаются по запросу (lazy load).
3. Ускорена работа фильтров.
Другие обновления инсталляции
1. Добавлена поддержка TLS для PostgreSQL и PgBouncer в Docker Compose.
2. Введено ограничение на количество попыток входа от одного пользователя.
3. Улучшена валидация международных телефонных номеров.
4. Исправлены ошибки сортировки уязвимостей и экспорта CSV.
5. Улучшена работа масштабирования карт в модуле TQI.
6. Улучшена локализация.
7. Оптимизированы запросы для снижения нагрузки на инсталляцию.
Полный список изменений можно увидеть на странице Changelog в документации.
❤19🎉17🔥8👏5❤🔥2👍1
Рады поделиться вторым выпуском журнала Information Security! В нем основатель CodeScoring Алексей Смирнов рассказывает историю появления и развития продукта и компании.
Вы узнаете:
- как был придуман CodeScoring и кто за этим стоит
- какие возможности закладываются в продукт
- про отношение к аудиту и процессам безопасной разработки
- про ГОСТ по композиционному анализу, дружбу с РБПО-сообществом и многое другое
Прочитать электронную версию можно по ссылке:
👉🏻 https://cs.groteck.ru/IB_2_2025/index.html
📖А получить бумажную копию
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21🔥16❤🔥7🤩6👍1
PHDays Fest прошел, но записи остались
Наш май выдался насыщенным не только на релиз, но и на полезные доклады 👀.
✅ Развили тему полезных чисел и IDE-сдвига в докладе "Моделируем влияние проверок безопасности на разных этапах разработки" от Алексея Смирнова.
pdf | VK | RT | YT
✅ В докладе "Новый log4shell, о котором вам забыли
рассказать", Никита Бесперстов (в соучастии с Алексеем) всё же не забыл рассказать о найденной им high-уязвимости — BDU:2025-02344, которая прямо или косвенно затрагивает почти четверть Go-экосистемы 🎃.
pdf | VK | RT | YT
✅ Доступно рассказывать о сложном нужно уметь. В докладе "Атака на пакет с пакетами: уязвимости в цепочках поставок", Антон Володченко раскрывает особенности работы с открытым кодом простыми словами, не забыв про современные тренды с ИИ.
pdf | VK | RT | YT
✅ Иван Соломатин подсветил ключевые проблематики для бизнеса в докладе "На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации".
pdf | VK | RT | YT
Спасибо всем кто организовал и кто пришел и задавал коварные вопросы! 🙏
А в июне нас ещё можно встретить на ITSec с докладом про квалификаторы репозиториев и на GigaConf с докладом про безопасную разработку в эпоху GenAI.
До встречи!
Наш май выдался насыщенным не только на релиз, но и на полезные доклады 👀.
✅ Развили тему полезных чисел и IDE-сдвига в докладе "Моделируем влияние проверок безопасности на разных этапах разработки" от Алексея Смирнова.
pdf | VK | RT | YT
✅ В докладе "Новый log4shell, о котором вам забыли
рассказать", Никита Бесперстов (в соучастии с Алексеем) всё же не забыл рассказать о найденной им high-уязвимости — BDU:2025-02344, которая прямо или косвенно затрагивает почти четверть Go-экосистемы 🎃.
pdf | VK | RT | YT
✅ Доступно рассказывать о сложном нужно уметь. В докладе "Атака на пакет с пакетами: уязвимости в цепочках поставок", Антон Володченко раскрывает особенности работы с открытым кодом простыми словами, не забыв про современные тренды с ИИ.
pdf | VK | RT | YT
✅ Иван Соломатин подсветил ключевые проблематики для бизнеса в докладе "На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации".
pdf | VK | RT | YT
Спасибо всем кто организовал и кто пришел и задавал коварные вопросы! 🙏
А в июне нас ещё можно встретить на ITSec с докладом про квалификаторы репозиториев и на GigaConf с докладом про безопасную разработку в эпоху GenAI.
До встречи!
❤15🔥10❤🔥6🤩2👍1
Наш основатель Алексей Смирнов дал блиц-интервью Илье Шабанову в котором обновил проблематику работы с безопасностью кода и разработки приложений.
В интерью поговорили про:
- актуальные и новые риски которые несет безответственное использование открытого кода и ассистентов разработчика;
- про композиционный анализ и существующие стандарты в области этого вида анализа: российский и международные;
- про сдвиг влево и IDE-плагины от CodeScoring (ждите летом);
- про неопределенность инструментов класса API Security и про фаззинг;
- про населенность рынка безопасной разработки и тренды реального применения ИИ в инструментах анализа;
- про экспортный потенциал и чего не хватает рынку безопасной разработки сегодня.
Отличных выходных!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥22❤🔥12❤6🤩2👍1
Media is too big
VIEW IN TELEGRAM
🚀 Обновление CodeScoring 2025.29.0: просмотр сканов в истории, ручные действия с алертами, кастомизация экспортов, верификация и подпись SBoM
В этом релизе мы сосредоточились на расширении взаимодействия с алертами, кастомизации выгрузок и переходе на новую версию Index API. Также добавили несколько полезных обновлений в политиках безопасности и провели техническую оптимизацию системы.
Детальный просмотр истории сканирований
В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа.
Получение данных через новый Index API
Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность.
Управление алертами и результатами анализа вручную
Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия.
Новый уровень доступа
Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации.
Улучшения экспортов: кастомизация и новые данные
Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем.
Дополнительно мы добавили полезные поля в результаты композиционного анализа:
1. В таблице зависимостей появилась колонка “Максимальная исправленная версия” – она помогает быстро понять, какую версию выбрать для устранения наибольшего числа уязвимостей;
2. В отчётах по алертам добавлено поле “Технология”, упрощающее сортировку и аналитику.
Новые условия и гибкость в политике безопасности
Система политик получила несколько точечных, но удобных обновлений:
1. Добавлено условие “Зависимость является потомком” – с его помощью можно фильтровать вложенные зависимости конкретного пакета. Это особенно полезно при анализе сложных проектов;
2. Реализована отложенная блокировка – она выражается количеством дней от первого срабатывания политики блокировки;
3. Игнор политик теперь можно назначать сразу на всю группу проектов – без необходимости задавать каждый по отдельности.
Johnny: подпись SBoM и улучшенная доступность
Johnny теперь поддерживает подпись и верификацию перечней программных компонентов. Это важно для соответствия требованиям безопасности и интеграции с внешними процессами поставки ПО. Помимо этого:
1. Добавлена выгрузка алертов в различных форматах;
2. Значительно улучшена работа с проектами Gradle: теперь можно работать с мультимодульными сборками и объединенным форматом зависимостей в build.gradle;
3. Агент теперь можно скачать прямо из инсталляции – без прямого доступа к реестру;
4. Появилась возможность передавать флаги пакетным менеджерам при разрешении зависимостей – это полезно, например, для фильтрации списка получаемых зависимостей;
5. Отчеты всех форматов теперь содержат больше информации: поля Relation, Parents, Match type и Env появились в CSV, информация о лицензиях – в текстовых и табличных отображениях, а выгрузка в sarif теперь содержит признак наличия публичных эксплойтов;
6. Улучшен анализ сборки С/С++ с использованием eBPF.
Полный список изменений можно посмотреть на странице Changelog в документации.
В этом релизе мы сосредоточились на расширении взаимодействия с алертами, кастомизации выгрузок и переходе на новую версию Index API. Также добавили несколько полезных обновлений в политиках безопасности и провели техническую оптимизацию системы.
Детальный просмотр истории сканирований
В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа.
Получение данных через новый Index API
Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность.
Управление алертами и результатами анализа вручную
Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия.
Новый уровень доступа
Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации.
Улучшения экспортов: кастомизация и новые данные
Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем.
Дополнительно мы добавили полезные поля в результаты композиционного анализа:
1. В таблице зависимостей появилась колонка “Максимальная исправленная версия” – она помогает быстро понять, какую версию выбрать для устранения наибольшего числа уязвимостей;
2. В отчётах по алертам добавлено поле “Технология”, упрощающее сортировку и аналитику.
Новые условия и гибкость в политике безопасности
Система политик получила несколько точечных, но удобных обновлений:
1. Добавлено условие “Зависимость является потомком” – с его помощью можно фильтровать вложенные зависимости конкретного пакета. Это особенно полезно при анализе сложных проектов;
2. Реализована отложенная блокировка – она выражается количеством дней от первого срабатывания политики блокировки;
3. Игнор политик теперь можно назначать сразу на всю группу проектов – без необходимости задавать каждый по отдельности.
Johnny: подпись SBoM и улучшенная доступность
Johnny теперь поддерживает подпись и верификацию перечней программных компонентов. Это важно для соответствия требованиям безопасности и интеграции с внешними процессами поставки ПО. Помимо этого:
1. Добавлена выгрузка алертов в различных форматах;
2. Значительно улучшена работа с проектами Gradle: теперь можно работать с мультимодульными сборками и объединенным форматом зависимостей в build.gradle;
3. Агент теперь можно скачать прямо из инсталляции – без прямого доступа к реестру;
4. Появилась возможность передавать флаги пакетным менеджерам при разрешении зависимостей – это полезно, например, для фильтрации списка получаемых зависимостей;
5. Отчеты всех форматов теперь содержат больше информации: поля Relation, Parents, Match type и Env появились в CSV, информация о лицензиях – в текстовых и табличных отображениях, а выгрузка в sarif теперь содержит признак наличия публичных эксплойтов;
6. Улучшен анализ сборки С/С++ с использованием eBPF.
Полный список изменений можно посмотреть на странице Changelog в документации.
🔥18🎉14❤🔥10👏7❤1👍1
Media is too big
VIEW IN TELEGRAM
🚀 Плагины CodeScoring для VS Code и JetBrains IDE
Сегодня наибольшая часть программного обеспечения создаётся в средах разработки — IDE. Они предлагают удобные редакторы кода, встроенные отладчики, интеграции с внешними системами вроде VCS, трекерами задач и другими. В общем, дают всё необходимое в одном приложении, чем значительно упрощают процесс разработки.
А для того, чтобы в IDE можно было проверять ещё и безопасность проектов, мы подготовили новый инструмент в рамках платформы CodeScoring — расширения для сред разработки Visual Studio Code и IDE от JetBrains.
Плагины позволяют анализировать зависимости проекта с помощью CodeScoring в IDE, делая процесс композиционного анализа доступнее и удобнее для разработчиков. Возможность поиска уязвимостей на этапе написания кода делает исправление проблем безопасности быстрее и проще, значительно сокращая время на “возвратах” со сборки.
На данный момент поддерживаются среды разработки Visual Studio Code версии 1.95.0 и выше и IntelliJ-based версии 2024.1 и выше. К последним относятся продукты JetBrains, такие как PyCharm, GoLand, WebStorm и другие.
⚡️ Анализ и генерация SBoM
В плагине используется консольный агент Johnny, который проводит полноценный анализ и генерацию SBoM-файлов для всех поддерживаемых в CodeScoring технологий. Полный список технологий можно посмотреть в документации. В формируемых SBoM-файлах содержится информация об используемых пакетах и их версиях. С помощью этих файлов можно отслеживать историю изменений в манифестах, а также сравнивать состав пакетов в разных версиях приложения.
⚡️ Работа с уязвимостями
Найденные уязвимости показываются прямо в окне текстового редактора при открытии файла манифеста. Кроме того, с уязвимостями можно работать в окне плагина, где доступны поиск и группировка по различным критериям.
⚡️ Политики безопасности
Теперь есть возможность проверить соответствие политикам безопасности, не уходя в конвейер сборки. В отчёте сканирования можно увидеть сработавшие политики безопасности с информацией об уязвимостях и заранее оценить возможность успешной сборки.
⚡️ Исправление уязвимостей “в один клик”
Плагин позволяет исправлять все найденные уязвимости в один клик. В этом случае обновятся все версии уязвимых пакетов в манифестах. Если какие-то файлы нужно исключить из массового исправления, их можно указать в специальном файле. Для точечных обновлений также можно применять исправление для каждого компонента отдельно через окно плагина или в окне редактирования текста.
⚡️ Отчёт
По окончании анализа создаётся файл отчёта в формате HTML, содержащий сводку по найденным пакетам, связанным с ними уязвимостям и лицензиям, а также нарушенным политикам.
Плагины для сред разработки помогают проверять безопасность приложения прямо во время написания кода в привычном интерфейсе. А исправлять проблемы безопасности можно сразу, не дожидаясь задачи от специалистов по безопасности или от клиентов.
Плагины доступны всем пользователям модуля CodeScoring.SCA, а для получения дистрибутива можно обратиться в нашу службу Заботы. Более подробное описание работы с плагинами доступно в документации.
Сегодня наибольшая часть программного обеспечения создаётся в средах разработки — IDE. Они предлагают удобные редакторы кода, встроенные отладчики, интеграции с внешними системами вроде VCS, трекерами задач и другими. В общем, дают всё необходимое в одном приложении, чем значительно упрощают процесс разработки.
А для того, чтобы в IDE можно было проверять ещё и безопасность проектов, мы подготовили новый инструмент в рамках платформы CodeScoring — расширения для сред разработки Visual Studio Code и IDE от JetBrains.
Плагины позволяют анализировать зависимости проекта с помощью CodeScoring в IDE, делая процесс композиционного анализа доступнее и удобнее для разработчиков. Возможность поиска уязвимостей на этапе написания кода делает исправление проблем безопасности быстрее и проще, значительно сокращая время на “возвратах” со сборки.
На данный момент поддерживаются среды разработки Visual Studio Code версии 1.95.0 и выше и IntelliJ-based версии 2024.1 и выше. К последним относятся продукты JetBrains, такие как PyCharm, GoLand, WebStorm и другие.
⚡️ Анализ и генерация SBoM
В плагине используется консольный агент Johnny, который проводит полноценный анализ и генерацию SBoM-файлов для всех поддерживаемых в CodeScoring технологий. Полный список технологий можно посмотреть в документации. В формируемых SBoM-файлах содержится информация об используемых пакетах и их версиях. С помощью этих файлов можно отслеживать историю изменений в манифестах, а также сравнивать состав пакетов в разных версиях приложения.
⚡️ Работа с уязвимостями
Найденные уязвимости показываются прямо в окне текстового редактора при открытии файла манифеста. Кроме того, с уязвимостями можно работать в окне плагина, где доступны поиск и группировка по различным критериям.
⚡️ Политики безопасности
Теперь есть возможность проверить соответствие политикам безопасности, не уходя в конвейер сборки. В отчёте сканирования можно увидеть сработавшие политики безопасности с информацией об уязвимостях и заранее оценить возможность успешной сборки.
⚡️ Исправление уязвимостей “в один клик”
Плагин позволяет исправлять все найденные уязвимости в один клик. В этом случае обновятся все версии уязвимых пакетов в манифестах. Если какие-то файлы нужно исключить из массового исправления, их можно указать в специальном файле. Для точечных обновлений также можно применять исправление для каждого компонента отдельно через окно плагина или в окне редактирования текста.
⚡️ Отчёт
По окончании анализа создаётся файл отчёта в формате HTML, содержащий сводку по найденным пакетам, связанным с ними уязвимостям и лицензиям, а также нарушенным политикам.
Плагины для сред разработки помогают проверять безопасность приложения прямо во время написания кода в привычном интерфейсе. А исправлять проблемы безопасности можно сразу, не дожидаясь задачи от специалистов по безопасности или от клиентов.
Плагины доступны всем пользователям модуля CodeScoring.SCA, а для получения дистрибутива можно обратиться в нашу службу Заботы. Более подробное описание работы с плагинами доступно в документации.
🔥33🎉14❤🔥11❤9
Руссофт: CodeScoring — лидер роста!🔥
Уже несколько лет наша компания входит в ряды РУССОФТ, крупнейшей ассоциации участников-разработчиков программного обеспечения России, которая насчитывает почти 400 компаний.
На прошедшем ИТ-Форуме РУССОФТ 2025, генеральный директор и основатель CodeScoring Алексей Смирнов выступил с докладом про состояние безопасной разработки в эпоху активного применения ассистентов разработчика, а ещё…
🥁🥁🥁
на торжественной церемонии вручения Премии РУССОФТ мы получили награду как одна из самых быстрорастущих российских софтверных компаний в номинации «Лидеры роста — средний бизнес».
«Наша компания пришла в РУССОФТ в начале 2022 года, когда мы были раз в семь меньше, чем сегодня. За это время был проделан большой путь, на котором мы не планируем останавливаться и будем дальше развивать рынок безопасной разработки. Мы благодарим Ассоциацию за квалифицированную поддержку и душевное сообщество!» — Алексей Смирнов, основатель CodeScoring.
Тем временем, Ассоциации «стукнуло» 26 лет! Поздравляем! 🎉
Уже несколько лет наша компания входит в ряды РУССОФТ, крупнейшей ассоциации участников-разработчиков программного обеспечения России, которая насчитывает почти 400 компаний.
На прошедшем ИТ-Форуме РУССОФТ 2025, генеральный директор и основатель CodeScoring Алексей Смирнов выступил с докладом про состояние безопасной разработки в эпоху активного применения ассистентов разработчика, а ещё…
🥁🥁🥁
на торжественной церемонии вручения Премии РУССОФТ мы получили награду как одна из самых быстрорастущих российских софтверных компаний в номинации «Лидеры роста — средний бизнес».
«Наша компания пришла в РУССОФТ в начале 2022 года, когда мы были раз в семь меньше, чем сегодня. За это время был проделан большой путь, на котором мы не планируем останавливаться и будем дальше развивать рынок безопасной разработки. Мы благодарим Ассоциацию за квалифицированную поддержку и душевное сообщество!» — Алексей Смирнов, основатель CodeScoring.
Тем временем, Ассоциации «стукнуло» 26 лет! Поздравляем! 🎉
🔥36❤20🎉16👏6👍4
Media is too big
VIEW IN TELEGRAM
🚀 Обновление CodeScoring 2025.37.0
Достижимость уязвимостей, формирование SBoM без участия инсталляции, поддержка SPDX и OIDC, а также новые возможности в TQI
В этом релизе мы сделали анализ уязвимостей глубже, усилили поддержку стандартов и расширили интеграции. Обновления также затронули политики безопасности и модуль TQI.
Определение достижимости уязвимостей
В платформе появилась одна из самых ожидаемых возможностей – анализ достижимости уязвимостей. С помощью агента Johnny теперь можно проверить использование уязвимых вызовов в подключаемых библиотеках. Эти данные помогают фильтровать находки и в первую очередь устранять уязвимости, представляющие наибольшую опасность.
Совместно с научно-техническим центром «Фобос-НТ» мы подготовили собственную базу знаний: в ходе экспертного исследования репозиториев для каждой уязвимости были выделены характерные вызовы, что позволило добиться высокой точности покрытия.
В основе анализа лежит построение графа вызовов, для чего используется модуль Svace Института системного программирования РАН, интегрированный в CodeScoring.
Результаты анализа достижимости доступны в отчётах Johnny и в интерфейсе CodeScoring. В политиках безопасности появился новый критерий для проверки достижимых уязвимостей. Подробнее можно прочитать в документации.
На данный момент поддерживается язык Java, а в ближайших релизах список языков будет расширен.
Формирование SBoM без участия инсталляции и другие улучшения Johnny
Агент Johnny теперь умеет формировать SBoM, не отправляя результаты на инсталляцию CodeScoring. Это позволяет осуществлять работу агента в изолированном контуре и получать итоговые отчеты локально.
Помимо этого формируемый SBoM стал точнее соответствовать рекомендациям ФСТЭК России – в нем появилось конфигурируемое на уровне проекта поле manufacturer. Большая работа проделана по улучшению качества ссылок на репозитории с исходным кодом библиотек.
Также, агент теперь поддерживает разбор новых форматов манифестов:
OpenID Connect (OIDC)
Добавлена поддержка OIDC для аутентификации. Это упростит интеграцию с корпоративными системами единого входа, такими как Keycloak, и сделает процесс авторизации более безопасным.
Поддержка SPDX
CodeScoring теперь умеет выгружать SBoM в формате SPDX. Это расширяет совместимость с внешними инструментами и соответствует отечественным и международным практикам управления цепочкой поставок ПО.
Новые возможности в TQI
В модуле Teams & Quality Intelligence появились новые метрики и улучшения аналитики:
1. сравнение активности нескольких авторов на одном графике;
2. расчёт активности авторов с учётом релевантных месяцев, когда автор коммитил изменения;
3. метрика участия авторов в проектах.
Улучшения в политиках
Система политик стала ещё гибче:
1. добавлено условие для описания «глубины» транзитивности уязвимых зависимостей;
2. условия в выпадающих списках разделены на секции для удобства;
3. стало проще переносить правила внутри политик.
Кастомные шаблоны уведомлений и тикетов
При создании задач в Jira и email-уведомлений теперь можно использовать собственные шаблоны. Это позволяет адаптировать сообщения под формат конкретной команды или проекта.
Полный список изменений можно посмотреть на странице Changelog в документации.
Достижимость уязвимостей, формирование SBoM без участия инсталляции, поддержка SPDX и OIDC, а также новые возможности в TQI
В этом релизе мы сделали анализ уязвимостей глубже, усилили поддержку стандартов и расширили интеграции. Обновления также затронули политики безопасности и модуль TQI.
Определение достижимости уязвимостей
В платформе появилась одна из самых ожидаемых возможностей – анализ достижимости уязвимостей. С помощью агента Johnny теперь можно проверить использование уязвимых вызовов в подключаемых библиотеках. Эти данные помогают фильтровать находки и в первую очередь устранять уязвимости, представляющие наибольшую опасность.
Совместно с научно-техническим центром «Фобос-НТ» мы подготовили собственную базу знаний: в ходе экспертного исследования репозиториев для каждой уязвимости были выделены характерные вызовы, что позволило добиться высокой точности покрытия.
В основе анализа лежит построение графа вызовов, для чего используется модуль Svace Института системного программирования РАН, интегрированный в CodeScoring.
Результаты анализа достижимости доступны в отчётах Johnny и в интерфейсе CodeScoring. В политиках безопасности появился новый критерий для проверки достижимых уязвимостей. Подробнее можно прочитать в документации.
На данный момент поддерживается язык Java, а в ближайших релизах список языков будет расширен.
Формирование SBoM без участия инсталляции и другие улучшения Johnny
Агент Johnny теперь умеет формировать SBoM, не отправляя результаты на инсталляцию CodeScoring. Это позволяет осуществлять работу агента в изолированном контуре и получать итоговые отчеты локально.
Помимо этого формируемый SBoM стал точнее соответствовать рекомендациям ФСТЭК России – в нем появилось конфигурируемое на уровне проекта поле manufacturer. Большая работа проделана по улучшению качества ссылок на репозитории с исходным кодом библиотек.
Также, агент теперь поддерживает разбор новых форматов манифестов:
deps.json и .sln для .NET.OpenID Connect (OIDC)
Добавлена поддержка OIDC для аутентификации. Это упростит интеграцию с корпоративными системами единого входа, такими как Keycloak, и сделает процесс авторизации более безопасным.
Поддержка SPDX
CodeScoring теперь умеет выгружать SBoM в формате SPDX. Это расширяет совместимость с внешними инструментами и соответствует отечественным и международным практикам управления цепочкой поставок ПО.
Новые возможности в TQI
В модуле Teams & Quality Intelligence появились новые метрики и улучшения аналитики:
1. сравнение активности нескольких авторов на одном графике;
2. расчёт активности авторов с учётом релевантных месяцев, когда автор коммитил изменения;
3. метрика участия авторов в проектах.
Улучшения в политиках
Система политик стала ещё гибче:
1. добавлено условие для описания «глубины» транзитивности уязвимых зависимостей;
2. условия в выпадающих списках разделены на секции для удобства;
3. стало проще переносить правила внутри политик.
Кастомные шаблоны уведомлений и тикетов
При создании задач в Jira и email-уведомлений теперь можно использовать собственные шаблоны. Это позволяет адаптировать сообщения под формат конкретной команды или проекта.
Полный список изменений можно посмотреть на странице Changelog в документации.
🔥26❤16🎉10👍7🤩2❤🔥1
CodeScoring на Kazan Digital Week 2025
С 17 по 19 сентября в Казани открывает свои двери Kazan Digital Week 2025. На форуме соберутся разработчики и пользователи цифровых технологий из многих стран, для того, чтобы обменяться знаниями, обсудить продвижение передовых решений и глобального партнерства в области искусственного интеллекта и кибербезопасности. А так же планируется масштабная выставка, где участники форума представят свои решения.
CodeScoring работает на форуме все три дня и у нас большие планы:
📌мы едем со стендом, где можно будет больше узнать про нашу платформу, посмотреть её вживую и пообщаться с нашими экспертами.
📌Алексей Смирнов примет участие в круглом столе 18 сентября в 14:00 «Безопасная и качественная разработка ПО. Культура, конвейер, технологическая независимость», в котором также примут участие представители ФСТЭК России, ИСП РАН, НТЦ «Фобос-НТ», ИТ-экосистемы «Лукоморье», «Базис» и Test IT.
На круглом столе эксперты обсудят, как сформировать инженерную культуру, которая объединит качество, доверие и эффективность, а также обеспечит стратегическую устойчивость бизнеса и технологическую независимость страны.
🌟на форуме будет анонсирован проект, над которым работают несколько вендоров, но рассказать мы про него не можем, пока секрет.
Будем рады видеть вас, поделиться нашими новостями и обсудить планы на будущее!
С 17 по 19 сентября в Казани открывает свои двери Kazan Digital Week 2025. На форуме соберутся разработчики и пользователи цифровых технологий из многих стран, для того, чтобы обменяться знаниями, обсудить продвижение передовых решений и глобального партнерства в области искусственного интеллекта и кибербезопасности. А так же планируется масштабная выставка, где участники форума представят свои решения.
CodeScoring работает на форуме все три дня и у нас большие планы:
📌мы едем со стендом, где можно будет больше узнать про нашу платформу, посмотреть её вживую и пообщаться с нашими экспертами.
📌Алексей Смирнов примет участие в круглом столе 18 сентября в 14:00 «Безопасная и качественная разработка ПО. Культура, конвейер, технологическая независимость», в котором также примут участие представители ФСТЭК России, ИСП РАН, НТЦ «Фобос-НТ», ИТ-экосистемы «Лукоморье», «Базис» и Test IT.
На круглом столе эксперты обсудят, как сформировать инженерную культуру, которая объединит качество, доверие и эффективность, а также обеспечит стратегическую устойчивость бизнеса и технологическую независимость страны.
🌟на форуме будет анонсирован проект, над которым работают несколько вендоров, но рассказать мы про него не можем, пока секрет.
Будем рады видеть вас, поделиться нашими новостями и обсудить планы на будущее!
🔥13❤7🎉7❤🔥3
Forwarded from AM Live
CodeScoring на Kazan Digital Week 2025
С 17 по 19 сентября в Казани в 6-й раз проходит Kazan Digital Week 2025. На Форуме собрались разработчики и пользователи цифровых технологий из многих стран, для того, чтобы обменяться знаниями, обсудить продвижение передовых решений и глобального партнерства в области искусственного интеллекта и кибербезопасности.
Эксперты платформы безопасной разработки CodeScoring представляют свой стенд на выставке, на котором можно подробнее познакомиться с решением. CodeScoring создает инструменты для защиты цепочки поставки, анализа Open Source на безопасность, поиска секретов в коде и оценки качества ПО. Стенд работает все три дня выставки.
Важным событием в рамках Форума станет проведение круглого стола «Безопасная и качественная разработка ПО. Культура, конвейер, технологическая независимость», в котором примут участие представители ФСТЭК России, ИСП РАН, НТЦ «Фобос-НТ», ИТ-экосистемы «Лукоморье», «Базис», CodeScoring и Test IT.
Эксперты раскроют такие темы как:
– отечественная инженерная культура как стратегический ресурс;
– качество, доверие и эффективность в разработке ПО;
– современные практики DevOps и DevSecOps в российских реалиях;
– безопасная разработка: часть процесса или набор мер?
– опыт создания и внедрения отечественных инструментов и конвейеров;
– прогноз развития технологий на 1, 3 и 5 лет;
– что сегодня можно предложить малому бизнесу, корпорациям и государству.
⏰Круглый стол пройдет в Kazan Expo 18 сентября в 14:00 в зале №4.
Будем рады видеть вас, поделиться нашими новостями и обсудить планы на будущее!
#CodeScoring #КонвейерРБПО #РБПОнаKDW
С 17 по 19 сентября в Казани в 6-й раз проходит Kazan Digital Week 2025. На Форуме собрались разработчики и пользователи цифровых технологий из многих стран, для того, чтобы обменяться знаниями, обсудить продвижение передовых решений и глобального партнерства в области искусственного интеллекта и кибербезопасности.
Эксперты платформы безопасной разработки CodeScoring представляют свой стенд на выставке, на котором можно подробнее познакомиться с решением. CodeScoring создает инструменты для защиты цепочки поставки, анализа Open Source на безопасность, поиска секретов в коде и оценки качества ПО. Стенд работает все три дня выставки.
Важным событием в рамках Форума станет проведение круглого стола «Безопасная и качественная разработка ПО. Культура, конвейер, технологическая независимость», в котором примут участие представители ФСТЭК России, ИСП РАН, НТЦ «Фобос-НТ», ИТ-экосистемы «Лукоморье», «Базис», CodeScoring и Test IT.
Эксперты раскроют такие темы как:
– отечественная инженерная культура как стратегический ресурс;
– качество, доверие и эффективность в разработке ПО;
– современные практики DevOps и DevSecOps в российских реалиях;
– безопасная разработка: часть процесса или набор мер?
– опыт создания и внедрения отечественных инструментов и конвейеров;
– прогноз развития технологий на 1, 3 и 5 лет;
– что сегодня можно предложить малому бизнесу, корпорациям и государству.
⏰Круглый стол пройдет в Kazan Expo 18 сентября в 14:00 в зале №4.
Будем рады видеть вас, поделиться нашими новостями и обсудить планы на будущее!
#CodeScoring #КонвейерРБПО #РБПОнаKDW
🔥7❤6❤🔥6