Обновления CodeScoring за май-июнь 2024 🚀

За последние два месяца в CodeScoring было улучшено взаимодействие между инсталляцией и плагинами OSA, расширены возможности консольного агента, а также повышено удобство работы с интерфейсом системы. Вот самое важное из нового функционала:

1. Добавлена возможность подключения менеджеров репозиториев на инсталляции для связи с плагином CodeScoring OSA в Nexus Repository Manager и JFrog Artifactory. Это позволяет использовать фильтры по отдельным репозиториям и экосистемам в разделе Components для удобного просмотра списков просканированных компонентов и запросов по ним. Подробнее узнать о процессе подключения можно в документации.

2. В консольном агенте johnny добавлено разрешение зависимостей в окружении сборки для .NET, npm и Poetry. Подробнее про разрешение зависимостей в окружении можно прочесть в документации.

3. В плагин Nexus OSA добавлена Capability CodeScoring All Repositories Scan, которая активирует сканирование для всех репозиториев. Теперь необязательно настраивать Capability для каждого отдельного репозитория.

4. Теперь можно настроить политики безопасности для отдельных репозиториев, связанных с плагином OSA, а также на отдельные типы артефактов – Docker-образы или пакеты.

5. Добавлена возможность игнорирования Policy Alerts по PURL.

6. Добавлена настройка соответствия LDAP группы и уровня доступа пользователя.

7. Добавлена проверка доступности Container Registry перед запуском сканирования образа на инсталляции. В случае если реестр образов недоступен – кнопка сканирования будет деактивирована.

8. Добавлено описание методов OSA API в Swagger.

9. Добавлена ссылка на причину блокировки в свойства компонента Nexus.

10. Также в плагине теперь есть возможность указания собственного сообщения о блокировке в ответе на запрос компонента.

Помимо перечисленных нововведений, был улучшен парсинг манифестов в johnny, ускорен поиск в разделах Dependencies, Policy Alerts и Components, а также исправлены ошибки отображения некоторых разделов. Полный список изменений можно увидеть на странице Changelog в документации.

Новый механизм формирования политик в CodeScoring

Политики – это основной инструмент специалиста AppSec в системе CodeScoring. Он позволяет гибко настроить сценарии реагирования на события безопасности и контролировать работу с Open Source компонентами.

Начиная с версии 2024.28.0, работать с политиками стало еще удобнее. С помощью объединения условий в группы с разными логическими выражениями можно создать сценарии, которые раньше были доступны только при создании нескольких политик.

Подробнее прочитать о новом функционале и увидеть примеры реализации можно в нашей статье.

Обновления CodeScoring за июль-сентябрь 2024 🚀

В середине лета команда CodeScoring реализовала новый механизм настройки политик безопасности, который включает в себя гибкое комбинирование условий с помощью логических выражений. Заметные изменения претерпел и другой функционал в системе, вот полный список нововведений с июля по сентябрь 2024 года:

1. Реализован новый подход к настройке политик безопасности. Подробнее про него можно прочитать в нашей статье.

2. Добавлено новое условие для политик – количество уязвимостей в зависимости.

3. Реализовано фоновое формирование скачиваемых файлов и ускорена их раздача – экспорт PDF и CSV отчетов стал значительно быстрее, а управлять их загрузкой стало удобнее.

4. Расширен дашборд на главной странице системы – теперь там можно найти метрики OSA и количество блокирующих Policy Alerts.

5. Добавлена возможность указывать лицензию для CLI проектов при создании через консольного агента.

6. Дополнен список типов репозиториев. Теперь в разделе Repository Managers отображаются все репозитории внутри подключаемых менеджеров Nexus и Jfrog.

7. Добавлена поддержка Bearer авторизации для Container Registries.

8. Обновлен функционал, связанный с LDAP – в его рамках реализован поиск групп через записи об атрибутах пользователей, пагинация и улучшенные инструменты диагностики.

9. Добавлена возможность запускать сканирование проекта через интерфейс параллельно сканированию в Johnny. Это полезно в случаях, когда проверка одного и того же проекта происходит на нескольких этапах разработки.

10. Добавлена информация о количестве созданных Policy Alerts для каждой политики в разделе Policies.

11. Добавлен фильтр по дате последнего запроса в раздел Container Images.

12. Добавлена таблица с командой на страницу проекта – управлять списком авторов проекта теперь можно сразу из вкладки TQI.

13. Добавлена возможность экспорта в CSV в разделе Components.

14. Расширен функционал консольного агента Johnny – теперь используемые парсеры для каждой экосистемы можно настраивать через файл конфигурации, а также добавилась выгрузка ссылок и CWE в формат sarif.

15. Добавлена поддержка новых типов репозиториев в JFrog OSA – cargo и composer, а также добавлен флаг для сохранения результатов сканирования в свойства артефакта.

16. Ускорена работа разделов Components и Dependencies.

17. Ускорен SCA анализ в случаях, когда в рамках манифеста один и тот же пакет встречается множество раз.

Помимо этого, были проведены работы по оптимизации потребления памяти при генерации PDF-отчетов, а также исправлены ошибки с экспортом CSV, отображения Matched Criteria и расчета статуса блокировки в OSA. Полный список изменений можно увидеть на странице Changelog в документации.

🐻 Поддержка платформы GitFlic в CodeScoring

В конце августа компания «РеСолют» (входит в «Группу Астра») объявила об успешном тестировании платформы для разработки кода GitFlic на совместимость с CodeScoring.

GitFlic – это первая российская платформа для разработки, с помощью которой можно решать такие задачи как хранение кода, непрерывная интеграция, управление репозиториями и внедрение инструментов информационной безопасности.

Совместное использование CodeScoring и GitFlic позволит разработчикам и специалистам в области безопасной разработки иметь полную картину работы с заимствованными компонентами и определять потенциальные угрозы на раннем этапе. Инструкция по внедрению проверок безопасности в GitFlic CI уже доступна в документации CodeScoring.

Подобные интеграции на горизонтальном уровне помогают усилить присутствие отечественных решений на рынке и способствуют дальнейшему развитию экосистемы безопасного программного обеспечения.

Обновления CodeScoring за октябрь-ноябрь 2024 🚀

С момента прошлой сводки обновлений в СodeScoring вышло три плановых релиза инсталляции и консольного агента, а также несколько релизов плагинов. Рассказываем о ключевых нововведениях за это время.

Важными событиями стали выпуск бета-версии нового модуля Secrets, локализации системы на русский язык, полная поддержка стандарта CycloneDX 1.6 и адаптация функционала выгрузки SBoM к большинству требований ФСТЭК России по формированию перечня программных компонентов.

SBoM, CycloneDX 1.6 и требования ФСТЭК

Добавлена поддержка спецификации CycloneDX 1.6 для импорта и экспорта SBoM. Для новых результатов SCA-анализов добавлена возможность выбора версии CycloneDX при скачивании SBoM.

Дополнительно добавлена выгрузка SBoM с добавлением полей GOST:source_lang, GOST:attack_surface и GOST:security_function для соответствия требованиям ФСТЭК России к перечню программных компонентов. Администратор может указать значения для данных полей, а также добавить или отредактировать ссылки на VCS пакетов. Значения будут учтены в рамках выгрузки в специальном формате CycloneDX 1.6 Ext. Подробнее новые свойства описаны в документации CodeScoring.

Помимо этого улучшена выгрузка SBoM во все версии CycloneDX: добавлена информация об отсканированном приложении и версии инсталляции, обновлён устаревший формат указания авторства компонентов, исправлен формат лицензии компонентов. Данные изменения доступны для новых результатов SCA-анализа.

Бета-версия Codescoring Secrets

CodeScoring Secrets – это модуль для поиска чувствительной информации в коде (пароли, API ключи, токены), который использует собственную модель машинного обучения для значительного снижения количества ложных срабатываний при сканировании.

Поиск секретов осуществляется через открытые инструменты анализа, на данный момент интегрирован Gitleaks.

Доступ к модулю для тестирования и пилотирования уже можно запросить.

Бета-версия перевода на русский язык

Наибольшая часть системы теперь доступна на русском и английском языках. Улучшения и перевод некоторых разделов будут завершены до конца года.

Переключение языка доступно на странице профиля пользователя.

Вебхуки

Начиная с версии 2024.48.0 в систему добавлена возможность настройки вебхуков на ключевые события, такие как сработавшие политики и запуск сканирования. Полный список событий и инструкция по настройке доступна в документации.

Консольный агент Johnny

Консольный агент теперь поддерживает парсинг манифестов экосистемы Conda и разбор pnpm-lock.yaml. Добавлено разрешение зависимостей в окружении сборки для pip, composer и pnpm.

Помимо этого в агенте появилась возможность указать группу при создании CLI проекта и формат генерируемого SBoM при анализе.

Также проделана большая работа по более точному объединению информации из основного манифеста и лок-файла для построения правильного графа зависимостей проекта. И улучшено построение графа зависимостей для форматов, допускающих несколько версий одного пакета.

Плагины OSA для Nexus Repository Manager и JFrog Artifactory

Плагин Nexus OSA получил возможность указывать формат репозиториев для анализа с помощью capability All Repositories Scan, а также поддержку PHP Composer репозиториев при использовании community-плагина.

JFrog OSA теперь поддерживает версии JFrog Artifactory v7.90 и выше, а также отправляет ссылки в CodeScoring на артефакт и пользователя, скачивающего его, при условии версии инсталляции 2024.48.0 и выше.

Более полный список изменений можно увидеть в блоге CodeScoring.

CodeScoring на открытой конференции ИСП РАН

В этом году команда CodeScoring снова участвует в открытой конференции Института системного программирования им. В.П. Иванникова. На нашем стенде с 11 по 12 декабря вы сможете задать все интересующие вопросы, лично познакомиться с нашей службой заботы, пообщаться с генеральным директором Алексеем Смирновым и узнать о ближайших планах развития продукта.

Программа докладов уже доступна на сайте конференции.

🗓 11-12 декабря 2024
📍 Кластер Ломоносова, Москва
✅ Регистрация (до 8 декабря включительно)

🎉 Итоги 2024 года в CodeScoring

Этот год стал для нас по-настоящему знаковым: мы создали новые инструменты, наладили сильные партнерства и стали ближе к нашим пользователям, участвуя в крупнейших отраслевых событиях.

По этому случаю мы подготовили для вас обширные итоги года, чтобы рассказать о главных достижениях, новых возможностях продукта и планах на будущее.

🔗 Читайте полный текст на нашем сайте.

Спасибо, что были с нами! Пусть 2025 станет годом безопасного кода, смелых идей и надежных решений. Мы всегда рядом, чтобы поддержать вас в этом. С наступающим! 🎄

Обновления CodeScoring за декабрь 2024 🚀

Под конец уходящего года мы ввели новые возможности анализа, более явно разделили модули в интерфейсе и повысили удобство работы с системой. Вот главные нововведения в CodeScoring за декабрь:

Анализ сборки С и С++

Консольный агент Johnny теперь умеет анализировать процесс сборки для языков С и С++, выявляя использованные библиотеки через флаги компилятора. Подробнее о новом виде анализа можно прочитать в документации CodeScoring.

Новая организация разделов в системе

Вести работу с отдельными модулями стало удобнее. Разделы в меню более явно группируют функционал, а списки проектов разделены по своему назначению.

Поддержка экосистемы Conda

Теперь в CodeScoring можно анализировать проекты, использующие пакетный менеджер Conda. Полный список поддерживаемых манифестов расположен в документации.

Улучшения в интерфейсе

В интерфейсе CodeScoring реализованы улучшения, которые делают работу с системой более гибкой и эффективной:

1. Теперь пользователи могут выбирать сразу несколько проектов и образов при создании игнорирования политики.

2. В списке проектов теперь отображаются даты первого и последнего SCA-сканирования, что упрощает отслеживание их активности.

3. Для раздела Container Images добавлен новый фильтр, позволяющий искать образы по их тэгам. А в разделах Vulnerabilities, Policy Alerts и Projects появилась возможность фильтровать элементы по нескольким значениям Severity, Policy и Technology одновременно.

4. В разделе Secrets реализовано отдельное окно для полного отображения секретов.

5. Дополнена локализация системы.

Новые параметры консольного агента

Результаты работы консольного агента теперь можно выгрузить в двух новых форматах – GitLab Dependency Scanning Report и GitLab Code Quality Report.

Добавилась возможность указывать метаданные компонентов, такие как ссылка на ветку/тэг и коммит в VCS, а также хэш контейнерного образа.

Помимо этого, теперь можно запускать агент без ожидания результатов анализа и указывать policy stage при создании CLI проекта.

Полный список изменений можно увидеть на странице Changelog в документации.

CodeScoring на ТБ Форум 2025


🎉 30-й юбилейный ТБ Форум
📅 11–13 февраля 2025 года
📌 МВЦ «Крокус Экспо», павильон 2, зал 10

Участие в ТБ Форуме стало для нас хорошей традицией! Уже три года подряд мы вместе и второй год CodeScoring поддерживает мероприятие в качестве генерального партнера.

👉 Загляните на наш демо-стенд (H01), чтобы:

- поделиться своими задачами и узнать больше про CodeScoring
- пообщаться с легендарной Службой заботы (да, они всё такие же крутые, как вы слышали)
- узнать, что мы готовим в ближайших релизах

А 13 февраля Алексей Смирнов в блоке «Эксперты и экспертиза РБПО. Вызовы нашего времени» представит доклад: «Построение процесса безопасной разработки: от общего к частностям». Не пропустите!

📋 Программа форума уже доступна. Участие бесплатное, но важно зарегистрироваться.

Приходите, чтобы быть в курсе главных трендов и обсудить будущее кибербезопасности.

#ТБФорум #события

🚀 Обновление CodeScoring 2025.7.0: расширенные возможности консольного агента, дополнительные настройки проектов и другие нововведения

За последние месяцы мы добавили новые механизмы анализа, упростили управление проектами и оптимизировали работу интерфейса. Вот какие изменения произошли в версии 2025.7.0:

Сканирование отдельных технологий и улучшения консольного агента

Теперь консольный агент Johnny позволяет сканировать директории с предустановленными настройками для разных технологий. Это значительно упрощает процесс анализа, так как в этом случае не требуется вручную настраивать параметры для каждого проекта. Например, команда johnny scan java будет обрабатывать только манифесты для Java с использованием парсеров и разрешением зависимостей в окружении конкретно для данного языка.

Помимо этого в Johnny появилось два важных нововведения:

1. В отчеты теперь добавляется информация о наличии эксплойтов для найденных уязвимостей. Это позволяет быстрее оценивать критичность угроз и реагировать на них приоритетно;
2. Поддержаны механизмы Selective dependency resolutions для Yarn и NPM Package aliases. Теперь агент корректно обрабатывает случаи подмены названия пакетов и фиксации версии.

Расширенные настройки проектов

Настройки проектов теперь удобно разделены по модулям, и в них добавлены новые опции: отключение облачного резолва, игнорирование файлов, а также включение и отключение рекурсивного поиска.

Обновленная визуализация в модуле TQI

Карты сложности проектов, активности авторов и дубликатов в модуле TQI стали удобнее и современнее. В них добавлена интуитивная навигация, новый дизайн и дополнительные фильтры.

Новые механизмы мониторинга и интеграции

1. Реализованы вебхуки для событий модуля Secrets.
2. Добавлен вывод метрики доступности Index API.
3. Теперь можно отключать проверку TLS при подключении к приватным реестрам Docker-образов с самоподписанными сертификатами, упрощая интеграцию.

Другие улучшения инсталляции

1. В интерфейсе управления полями зависимостей появилась возможность выбора лицензии.
2. При создании политики теперь можно сразу выбрать группу, а также добавлять проекты без предварительного выбора подразделения.
3. Оптимизирована работа списка зависимостей в SCA и списка запросов в OSA.
4. Улучшено сохранение состояния фильтров и пагинации при редактировании зависимостей.

Полный список изменений можно увидеть на странице Changelog в документации.

Уже через 10 минут мы начинаем наш вебинар "Безопасное использование Open Source и эффективный поиск секретов с CodeScoring".

Присоединяйтесь!
https://my.mts-link.ru/j/CodeScoring/CS_1_25

🚀 Обновление CodeScoring 2025.13.0: анализ секретов в CI/CD, новые возможности уведомлений и поддержка Swift

В версии 2025.13.0 мы добавили анализ секретов с помощью консольного агента Johnny, значительно обновили конфигурацию CodeScoring в Docker Compose, расширили поддержку экосистем и добавили новые гибкие настройки уведомлений. Вот что изменилось:

Анализ секретов в CI/CD

Консольный агент Johnny теперь умеет анализировать директории на наличие секретов. Более подробно об этой функциональности можно узнать в документации.

Также, появилась история сканирования секретов в проектах.

Обновление конфигурации Docker Compose

Конфигурация CodeScoring в Docker Compose претерпела глубокую модернизацию. Перед обновлением ознакомьтесь с инструкцией, чтобы избежать возможных проблем при переходе.

Поддержка Swift Package Manager

Теперь CodeScoring поддерживает анализ манифестов Swift. Johnny научился разбирать файлы Package.swift и Package.resolved и анализировать зависимости данной экосистемы.

Новые настройки уведомлений и создания задач

1. Теперь можно гибко настраивать отправку Email-уведомлений и создание задач в Jira на отдельные группы и проекты a в рамках одной политики.
2. Добавлены два режима отправки уведомлений и создания задач: отдельное письмо/задача на каждый алерт или единый дайджест по всему сканированию.

Дополнительные изменения и улучшения

1. В словарные политики добавлен оператор "не соответствует".
2. Улучшена валидация паролей при создании нового пользователя и смене пароля.
3. Исправлены ошибки в фильтрации, сортировке и отображении данных в различных модулях.
4. Оптимизирована работа страницы политик и обновление информации об уязвимостях.

Полный список изменений можно увидеть на странице Changelog в документации.

Агент Johnny раскрыт! Смотрим на CodeScoring под микроскопом Natch

Наши коллеги по цеху безопасной разработки ИСП РАН, НТЦ «Фобос-НТ», «Базальт СПО» и мы, провели исследование CodeScoring при помощи инструмента Natch.

Natch — это инструмент от ИСП РАН, использующий динамический анализ, для определения поверхности атаки приложений и систем, основанный на полносистемном эмуляторе QEMU.

👀 По ссылке будет сложно, но интересно:
https://habr.com/ru/companies/isp_ras/articles/892548/

Авторы: Андрей Слепых, Никита Бесперстов, Павел Довгалюк.

CodeScoring — партнер PHDays!

В этом году мы впервые участвуем в статусе партнёра фестиваля. Специально для наших заказчиков и партнеров мы организуем собственную лаунж-зону в Лужниках (№36 на 4ом этаже). Мы будем рады пообщаться все 3 дня и обсудить текущие вопросы, перспективные проекты и амбициозные задачи, которые мы ставим перед собой.

Чтобы организовать встречу с руководителями продукта, коммерческим департаментом и службой заботы — смело пишите @maria_codescoring.

Кроме того, на фестивале мы представим четыре доклада в разных секциях:

[22 мая]
- 11:00, зал Лавлейс, «Моделируем влияние проверок безопасности на разных этапах разработки», Алексей Смирнов
- 12:30, зал Братьев Райт, «На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации», Иван Соломатин

[23 мая]
- 15:00, зал Попов, «Новый log4shell, о котором вам забыли рассказать», Алексей Смирнов и Никита Бесперстов
- 16:00, научпоп-сцена Kulibin, «Атака на пакет с пакетами: уязвимости в цепочках поставок», Антон Володченко

До встречи!

PS. Говорят, что ожидается новый дроп мерча

🚀 Обновление CodeScoring 2025.21.0: политика на протестное ПО, использование eBPF в анализе С/С++, адаптивный интерфейс и улучшения безопасности

В версии 2025.21.0 мы добавили поддержку новых сценариев анализа, обновили работу с политиками безопасности, расширили возможности Johnny и сделали интерфейс системы удобнее для работы с разных устройств. Вот что изменилось:

Фид и новая политика: протестное ПО

В CodeScoring добавился собственный фид protestware и новое условие политики – “Зависимость является протестным ПО”. Оно позволяет выявлять компоненты, заведомо содержащие деструктивный или идеологически окрашенный код. Для таких угроз используется новый идентификатор CSPW, и они теперь могут отслеживаться и блокироваться в рамках политик безопасности.

Использование eBPF в анализе сборок C/C++ и другие обновления агента

В консольном агенте появилась команда scan build ebpf, которая позволяет анализировать C/C++ проекты с использованием eBPF – технологии отслеживания событий на уровне ядра Linux. Это делает возможным более глубокий сбор данных во время сборки.

Также добавлены следующие улучшения агента:
1. В выгрузке SARIF теперь есть информация о типе связи зависимости: direct или indirect, а также исправлена выгрузка уязвимостей без численной оценки.
2. Обновлён парсинг требований в манифестах Python (включая версии вида `==3.0.0.post`).
3. В Go-окружении исключаются транзитивные зависимости без определённого родителя.

Выбор ветки для SCA в VCS проектах и расширенная работа с результатами анализа

При запуске SCA-анализа теперь можно выбрать нужную ветку или тег в VCS-проекте без смены ветки по умолчанию. Это удобно для точечной проверки, особенно при работе с релизными ветками. Также инсталляция теперь позволяет создание нескольких VCS проектов для одного и того же репозитория.

В работе с политиками и результатами анализа произошли следующие изменения:
1. При создании и редактировании политики можно указать проект независимо от выбранных групп и владельцев.
2. Добавлен фильтр по технологиям в разделе “Алерты”.
3. В раздел “Игноры политики” появилась колонка “Заметка”.

Улучшения интерфейса и фильтров

Интерфейс CodeScoring стал адаптивным – теперь им удобно пользоваться на планшетах и смартфонах. Мы также переработали фильтры по всей системе:
1. Добавлены новые фильтры в разделах “Алерты”, “Зависимости”, “Реестры”, “История сканирований”.
2. Фильтры загружаются по запросу (lazy load).
3. Ускорена работа фильтров.

Другие обновления инсталляции

1. Добавлена поддержка TLS для PostgreSQL и PgBouncer в Docker Compose.
2. Введено ограничение на количество попыток входа от одного пользователя.
3. Улучшена валидация международных телефонных номеров.
4. Исправлены ошибки сортировки уязвимостей и экспорта CSV.
5. Улучшена работа масштабирования карт в модуле TQI.
6. Улучшена локализация.
7. Оптимизированы запросы для снижения нагрузки на инсталляцию.

Полный список изменений можно увидеть на странице Changelog в документации.