Media is too big
VIEW IN TELEGRAM
🚀 Обновление CodeScoring 2025.45.0: оценка новизны кода, поддержка Python и Go в анализе достижимости, группировка SCA-проектов, разбор манифестов UV и улучшенный граф зависимостей
В этом релизе мы сосредоточились на развитии аналитики в модуле CodeScoring.TQI, расширении списка поддерживаемых языков в анализе достижимости уязвимостей и улучшении инструментов по работе с результатами композиционного анализа.
Поддержка новых языков в анализе достижимости
В анализ достижимости добавлены языки Python и Go. Благодаря этому команды могут оценивать реальную эксплуатируемость уязвимостей и концентрироваться на тех, что действительно влияют на безопасность, снижая объём ручной проверки.
CodeScoring.TQI: новизна кода и улучшенная аналитика
В модуле CodeScoring.TQI появился расчёт новизны кода (code churn) – метрика, которая помогает отслеживать темп изменений в кодовой базе и выявлять потенциально нестабильные участки.
Также добавлены:
- метрики по коммитам и изменениям строк от авторов, которые теперь также визуализируются в профилях;
- новые фильтры и поля в списке проектов автора, включая фильтрацию по технологии.
Эти обновления предоставляют командам новые инструменты анализа и оценки качества и динамики разработки.
Новая группировка SCA-проектов
В интерфейсе платформы добавился новый раздел “Группы проектов” для модуля CodeScoring.SCA. В нём агрегируется информация по композиционному анализу всех проектов внутри группы – от расчета уникальных уязвимостей до единого списка алертов.
Таким образом, стало проще управлять наборами репозиториев и отслеживать метрики безопасности на широком масштабе.
Улучшенный граф зависимостей
Реализация графа зависимостей была полностью переработана технически и существенно обновлена визуально. Теперь можно отфильтровать отображаемые связи между компонентами, отдельно работать с путями до корня проекта или дочерних связей, выбрать показ только уязвимых зависимостей или разделить граф на несколько частей по используемым технологиям. Помимо этого улучшена интерактивность графа и работа с масштабированием.
Johnny: поддержка нового пакетного менеджера UV
Агент Johnny теперь обрабатывает зависимости из пакетного менеджера UV. В рамках данной экосистемы можно анализировать манифесты типов pyproject.toml и uv.lock.
Также в Johnny:
- Добавлено поле Matched Criteria в отчеты алертов
- Добавлено разрешение зависимостей через механизм pipdeptree
- Добавлена поддержка механизма npm/pnpm workspaces
Прочие улучшения
- Реализован разбор компонентов экосистемы РЕД ОС;
- Добавлена возможность копировать политики;
- Фильтры TQI и SCA-проектов оптимизированы для быстрого поиска;
- Переработано боковое меню – теперь его можно сворачивать, а структура стала компактнее и логичнее;
- Улучшена производительность выгрузки PDF-отчетов и дополнено их содержание.
Полный список изменений можно посмотреть на странице Changelog в документации.
В этом релизе мы сосредоточились на развитии аналитики в модуле CodeScoring.TQI, расширении списка поддерживаемых языков в анализе достижимости уязвимостей и улучшении инструментов по работе с результатами композиционного анализа.
Поддержка новых языков в анализе достижимости
В анализ достижимости добавлены языки Python и Go. Благодаря этому команды могут оценивать реальную эксплуатируемость уязвимостей и концентрироваться на тех, что действительно влияют на безопасность, снижая объём ручной проверки.
CodeScoring.TQI: новизна кода и улучшенная аналитика
В модуле CodeScoring.TQI появился расчёт новизны кода (code churn) – метрика, которая помогает отслеживать темп изменений в кодовой базе и выявлять потенциально нестабильные участки.
Также добавлены:
- метрики по коммитам и изменениям строк от авторов, которые теперь также визуализируются в профилях;
- новые фильтры и поля в списке проектов автора, включая фильтрацию по технологии.
Эти обновления предоставляют командам новые инструменты анализа и оценки качества и динамики разработки.
Новая группировка SCA-проектов
В интерфейсе платформы добавился новый раздел “Группы проектов” для модуля CodeScoring.SCA. В нём агрегируется информация по композиционному анализу всех проектов внутри группы – от расчета уникальных уязвимостей до единого списка алертов.
Таким образом, стало проще управлять наборами репозиториев и отслеживать метрики безопасности на широком масштабе.
Улучшенный граф зависимостей
Реализация графа зависимостей была полностью переработана технически и существенно обновлена визуально. Теперь можно отфильтровать отображаемые связи между компонентами, отдельно работать с путями до корня проекта или дочерних связей, выбрать показ только уязвимых зависимостей или разделить граф на несколько частей по используемым технологиям. Помимо этого улучшена интерактивность графа и работа с масштабированием.
Johnny: поддержка нового пакетного менеджера UV
Агент Johnny теперь обрабатывает зависимости из пакетного менеджера UV. В рамках данной экосистемы можно анализировать манифесты типов pyproject.toml и uv.lock.
Также в Johnny:
- Добавлено поле Matched Criteria в отчеты алертов
- Добавлено разрешение зависимостей через механизм pipdeptree
- Добавлена поддержка механизма npm/pnpm workspaces
Прочие улучшения
- Реализован разбор компонентов экосистемы РЕД ОС;
- Добавлена возможность копировать политики;
- Фильтры TQI и SCA-проектов оптимизированы для быстрого поиска;
- Переработано боковое меню – теперь его можно сворачивать, а структура стала компактнее и логичнее;
- Улучшена производительность выгрузки PDF-отчетов и дополнено их содержание.
Полный список изменений можно посмотреть на странице Changelog в документации.
🔥21❤10🎉7❤🔥3👍1👏1
CodeScoring вновь на открытой конференции ИСП РАН!
🎉В этом году команда CodeScoring уже в третий раз участвует в качестве партнера открытой конференции Института системного программирования им. В.П. Иванникова.
Каждый год конференция растет и представляет насыщенную и интересную программу, где каждый может найти полезную информацию в своей деятельности: от технических аспектов последних научных разработок, до применения технологий в реальных задачах.
👀 От CodeScoring мы приготовили два выступления:
1. 09.12 в 15:20 В блоке технологических партнеров ИСП РАН мы расскажем о нашем успешном опыте применения технологий Института на практике и как не бояться научных организаций.
2. 10.12 в 17:30 В рамках дня безопасной разработки АРПП представим доклад "Большие обманы Open Source: обзор популярных атак на цепочку поставки", приходите послушать, чем запомнился уходящий год. Полная программа уже доступна.
На нашем стенде 9 и 10 декабря вы сможете лично познакомиться с руководителями продуктов и службой заботы, узнать о ближайших планах развития нашей платформы и пообщаться о перспективных сотрудничествах от технологий до коммерции.
🗓 9-10 декабря 2025
📍 Кластер «Ломоносов», Москва
✅ Регистрация до 6 декабря включительно
🎉В этом году команда CodeScoring уже в третий раз участвует в качестве партнера открытой конференции Института системного программирования им. В.П. Иванникова.
Каждый год конференция растет и представляет насыщенную и интересную программу, где каждый может найти полезную информацию в своей деятельности: от технических аспектов последних научных разработок, до применения технологий в реальных задачах.
👀 От CodeScoring мы приготовили два выступления:
1. 09.12 в 15:20 В блоке технологических партнеров ИСП РАН мы расскажем о нашем успешном опыте применения технологий Института на практике и как не бояться научных организаций.
2. 10.12 в 17:30 В рамках дня безопасной разработки АРПП представим доклад "Большие обманы Open Source: обзор популярных атак на цепочку поставки", приходите послушать, чем запомнился уходящий год. Полная программа уже доступна.
На нашем стенде 9 и 10 декабря вы сможете лично познакомиться с руководителями продуктов и службой заботы, узнать о ближайших планах развития нашей платформы и пообщаться о перспективных сотрудничествах от технологий до коммерции.
🗓 9-10 декабря 2025
📍 Кластер «Ломоносов», Москва
✅ Регистрация до 6 декабря включительно
🔥14❤🔥7👍4🎉4❤1🤩1
В модуле CodeScoring.OSA появился новый сервис – OSA Proxy. Он выступает посредником между пакетными менеджерами и их удалёнными репозиториями, автоматически проверяя пакеты и блокируя небезопасные версии в соответствии с политиками безопасности. Это позволяет внедрять модуль CodeScoring.OSA без привязки к хранилищам артефактов и гарантирует соблюдение требований безопасности при работе с внешними пакетными индексами.
OSA Proxy помогает централизованно контролировать загрузку компонентов с помощью политик безопасности, снижает риск попадания уязвимых версий в проекты и упрощает интеграцию с существующими процессами разработки. На данный момент сервис поддерживает Maven Central, NPM, PyPI, NuGet, Go Modules, Debian, а также альтернативные репозитории, совместимые с официальными спецификациями.
OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры. Команды получают возможность подключать сервис без необходимости изменять привычные рабочие процессы.
Каждый манифест и пакет проходят проверку на соответствие политикам безопасности. Уязвимые версии исключаются из манифестов, а загрузка небезопасных архивов блокируется ещё до попадания в проект. Это позволяет специалистам сосредоточиться на исправлении реальных угроз, не отвлекаясь на ручной контроль.
OSA Proxy модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов. Благодаря этому внешние инструменты и пакетные менеджеры продолжают работать корректно, а проекты защищены от случайного использования уязвимых компонентов.
Сервис поддерживает несколько режимов работы: от «наблюдателя» до строгой блокировки. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.
Асинхронная модель обработки и механизм автоматических повторов при временных ошибках обеспечивают стабильность даже при высоких нагрузках. Сервис спроектирован легко масштабируемым и рассчитан на высокую нагрузку, в соответствии с требованиями современной инфраструктуры.
OSA Proxy доступен всем пользователям модуля CodeScoring.OSA.
Подробнее о настройке и возможностях – в нашей открытой документации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27❤🔥13🎉12👍3👏1
This media is not supported in your browser
VIEW IN TELEGRAM
2025 стал для нас годом инноваций и укрепления позиций!
За это время мы:
- внедрили значительные улучшения в продукт
- расширили сеть сотрудничества
- активно участвовали в ключевых событиях отрасли
CodeScoring эволюционирует, чтобы точнее соответствовать актуальным задачам безопасной разработки и оставаться надежным партнёром для более чем 40 тысяч разработчиков в России.
Оглядываясь на прошедшие месяцы, мы рады поделиться основными успехами нашей команды и заглянуть в будущее.
🔗 Читайте полные итоги на нашем сайте.
Пусть 2026 принесёт гармонию в процессах, уверенность в коде и вдохновение для новых идей. С наступающим! 🎄
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥25🔥20❤15🎉11👍1👏1