Уже через 10 минут мы начинаем наш вебинар "Безопасное использование Open Source и эффективный поиск секретов с CodeScoring".

Присоединяйтесь!
https://my.mts-link.ru/j/CodeScoring/CS_1_25

🚀 Обновление CodeScoring 2025.13.0: анализ секретов в CI/CD, новые возможности уведомлений и поддержка Swift

В версии 2025.13.0 мы добавили анализ секретов с помощью консольного агента Johnny, значительно обновили конфигурацию CodeScoring в Docker Compose, расширили поддержку экосистем и добавили новые гибкие настройки уведомлений. Вот что изменилось:

Анализ секретов в CI/CD

Консольный агент Johnny теперь умеет анализировать директории на наличие секретов. Более подробно об этой функциональности можно узнать в документации.

Также, появилась история сканирования секретов в проектах.

Обновление конфигурации Docker Compose

Конфигурация CodeScoring в Docker Compose претерпела глубокую модернизацию. Перед обновлением ознакомьтесь с инструкцией, чтобы избежать возможных проблем при переходе.

Поддержка Swift Package Manager

Теперь CodeScoring поддерживает анализ манифестов Swift. Johnny научился разбирать файлы Package.swift и Package.resolved и анализировать зависимости данной экосистемы.

Новые настройки уведомлений и создания задач

1. Теперь можно гибко настраивать отправку Email-уведомлений и создание задач в Jira на отдельные группы и проекты a в рамках одной политики.
2. Добавлены два режима отправки уведомлений и создания задач: отдельное письмо/задача на каждый алерт или единый дайджест по всему сканированию.

Дополнительные изменения и улучшения

1. В словарные политики добавлен оператор "не соответствует".
2. Улучшена валидация паролей при создании нового пользователя и смене пароля.
3. Исправлены ошибки в фильтрации, сортировке и отображении данных в различных модулях.
4. Оптимизирована работа страницы политик и обновление информации об уязвимостях.

Полный список изменений можно увидеть на странице Changelog в документации.

Агент Johnny раскрыт! Смотрим на CodeScoring под микроскопом Natch

Наши коллеги по цеху безопасной разработки ИСП РАН, НТЦ «Фобос-НТ», «Базальт СПО» и мы, провели исследование CodeScoring при помощи инструмента Natch.

Natch — это инструмент от ИСП РАН, использующий динамический анализ, для определения поверхности атаки приложений и систем, основанный на полносистемном эмуляторе QEMU.

👀 По ссылке будет сложно, но интересно:
https://habr.com/ru/companies/isp_ras/articles/892548/

Авторы: Андрей Слепых, Никита Бесперстов, Павел Довгалюк.

CodeScoring — партнер PHDays!

В этом году мы впервые участвуем в статусе партнёра фестиваля. Специально для наших заказчиков и партнеров мы организуем собственную лаунж-зону в Лужниках (№36 на 4ом этаже). Мы будем рады пообщаться все 3 дня и обсудить текущие вопросы, перспективные проекты и амбициозные задачи, которые мы ставим перед собой.

Чтобы организовать встречу с руководителями продукта, коммерческим департаментом и службой заботы — смело пишите @maria_codescoring.

Кроме того, на фестивале мы представим четыре доклада в разных секциях:

[22 мая]
- 11:00, зал Лавлейс, «Моделируем влияние проверок безопасности на разных этапах разработки», Алексей Смирнов
- 12:30, зал Братьев Райт, «На что обратить внимание при комплексном подходе к безопасной разработке. От кода до эксплуатации», Иван Соломатин

[23 мая]
- 15:00, зал Попов, «Новый log4shell, о котором вам забыли рассказать», Алексей Смирнов и Никита Бесперстов
- 16:00, научпоп-сцена Kulibin, «Атака на пакет с пакетами: уязвимости в цепочках поставок», Антон Володченко

До встречи!

PS. Говорят, что ожидается новый дроп мерча

🚀 Обновление CodeScoring 2025.21.0: политика на протестное ПО, использование eBPF в анализе С/С++, адаптивный интерфейс и улучшения безопасности

В версии 2025.21.0 мы добавили поддержку новых сценариев анализа, обновили работу с политиками безопасности, расширили возможности Johnny и сделали интерфейс системы удобнее для работы с разных устройств. Вот что изменилось:

Фид и новая политика: протестное ПО

В CodeScoring добавился собственный фид protestware и новое условие политики – “Зависимость является протестным ПО”. Оно позволяет выявлять компоненты, заведомо содержащие деструктивный или идеологически окрашенный код. Для таких угроз используется новый идентификатор CSPW, и они теперь могут отслеживаться и блокироваться в рамках политик безопасности.

Использование eBPF в анализе сборок C/C++ и другие обновления агента

В консольном агенте появилась команда scan build ebpf, которая позволяет анализировать C/C++ проекты с использованием eBPF – технологии отслеживания событий на уровне ядра Linux. Это делает возможным более глубокий сбор данных во время сборки.

Также добавлены следующие улучшения агента:
1. В выгрузке SARIF теперь есть информация о типе связи зависимости: direct или indirect, а также исправлена выгрузка уязвимостей без численной оценки.
2. Обновлён парсинг требований в манифестах Python (включая версии вида `==3.0.0.post`).
3. В Go-окружении исключаются транзитивные зависимости без определённого родителя.

Выбор ветки для SCA в VCS проектах и расширенная работа с результатами анализа

При запуске SCA-анализа теперь можно выбрать нужную ветку или тег в VCS-проекте без смены ветки по умолчанию. Это удобно для точечной проверки, особенно при работе с релизными ветками. Также инсталляция теперь позволяет создание нескольких VCS проектов для одного и того же репозитория.

В работе с политиками и результатами анализа произошли следующие изменения:
1. При создании и редактировании политики можно указать проект независимо от выбранных групп и владельцев.
2. Добавлен фильтр по технологиям в разделе “Алерты”.
3. В раздел “Игноры политики” появилась колонка “Заметка”.

Улучшения интерфейса и фильтров

Интерфейс CodeScoring стал адаптивным – теперь им удобно пользоваться на планшетах и смартфонах. Мы также переработали фильтры по всей системе:
1. Добавлены новые фильтры в разделах “Алерты”, “Зависимости”, “Реестры”, “История сканирований”.
2. Фильтры загружаются по запросу (lazy load).
3. Ускорена работа фильтров.

Другие обновления инсталляции

1. Добавлена поддержка TLS для PostgreSQL и PgBouncer в Docker Compose.
2. Введено ограничение на количество попыток входа от одного пользователя.
3. Улучшена валидация международных телефонных номеров.
4. Исправлены ошибки сортировки уязвимостей и экспорта CSV.
5. Улучшена работа масштабирования карт в модуле TQI.
6. Улучшена локализация.
7. Оптимизированы запросы для снижения нагрузки на инсталляцию.

Полный список изменений можно увидеть на странице Changelog в документации.

🚀 Обновление CodeScoring 2025.29.0: просмотр сканов в истории, ручные действия с алертами, кастомизация экспортов, верификация и подпись SBoM

В этом релизе мы сосредоточились на расширении взаимодействия с алертами, кастомизации выгрузок и переходе на новую версию Index API. Также добавили несколько полезных обновлений в политиках безопасности и провели техническую оптимизацию системы.

Детальный просмотр истории сканирований

В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа.

Получение данных через новый Index API

Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность.

Управление алертами и результатами анализа вручную

Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия.

Новый уровень доступа

Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации.

Улучшения экспортов: кастомизация и новые данные

Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем.

Дополнительно мы добавили полезные поля в результаты композиционного анализа:

1. В таблице зависимостей появилась колонка “Максимальная исправленная версия” – она помогает быстро понять, какую версию выбрать для устранения наибольшего числа уязвимостей;
2. В отчётах по алертам добавлено поле “Технология”, упрощающее сортировку и аналитику.

Новые условия и гибкость в политике безопасности

Система политик получила несколько точечных, но удобных обновлений:

1. Добавлено условие “Зависимость является потомком” – с его помощью можно фильтровать вложенные зависимости конкретного пакета. Это особенно полезно при анализе сложных проектов;
2. Реализована отложенная блокировка – она выражается количеством дней от первого срабатывания политики блокировки;
3. Игнор политик теперь можно назначать сразу на всю группу проектов – без необходимости задавать каждый по отдельности.

Johnny: подпись SBoM и улучшенная доступность

Johnny теперь поддерживает подпись и верификацию перечней программных компонентов. Это важно для соответствия требованиям безопасности и интеграции с внешними процессами поставки ПО. Помимо этого:

1. Добавлена выгрузка алертов в различных форматах;
2. Значительно улучшена работа с проектами Gradle: теперь можно работать с мультимодульными сборками и объединенным форматом зависимостей в build.gradle;
3. Агент теперь можно скачать прямо из инсталляции – без прямого доступа к реестру;
4. Появилась возможность передавать флаги пакетным менеджерам при разрешении зависимостей – это полезно, например, для фильтрации списка получаемых зависимостей;
5. Отчеты всех форматов теперь содержат больше информации: поля Relation, Parents, Match type и Env появились в CSV, информация о лицензиях – в текстовых и табличных отображениях, а выгрузка в sarif теперь содержит признак наличия публичных эксплойтов;
6. Улучшен анализ сборки С/С++ с использованием eBPF.

Полный список изменений можно посмотреть на странице Changelog в документации.

🚀 Плагины CodeScoring для VS Code и JetBrains IDE

Сегодня наибольшая часть программного обеспечения создаётся в средах разработки — IDE. Они предлагают удобные редакторы кода, встроенные отладчики, интеграции с внешними системами вроде VCS, трекерами задач и другими. В общем, дают всё необходимое в одном приложении, чем значительно упрощают процесс разработки.

А для того, чтобы в IDE можно было проверять ещё и безопасность проектов, мы подготовили новый инструмент в рамках платформы CodeScoring — расширения для сред разработки Visual Studio Code и IDE от JetBrains.

Плагины позволяют анализировать зависимости проекта с помощью CodeScoring в IDE, делая процесс композиционного анализа доступнее и удобнее для разработчиков. Возможность поиска уязвимостей на этапе написания кода делает исправление проблем безопасности быстрее и проще, значительно сокращая время на “возвратах” со сборки.

На данный момент поддерживаются среды разработки Visual Studio Code версии 1.95.0 и выше и IntelliJ-based версии 2024.1 и выше. К последним относятся продукты JetBrains, такие как PyCharm, GoLand, WebStorm и другие.


⚡️ Анализ и генерация SBoM

В плагине используется консольный агент Johnny, который проводит полноценный анализ и генерацию SBoM-файлов для всех поддерживаемых в CodeScoring технологий. Полный список технологий можно посмотреть в документации. В формируемых SBoM-файлах содержится информация об используемых пакетах и их версиях. С помощью этих файлов можно отслеживать историю изменений в манифестах, а также сравнивать состав пакетов в разных версиях приложения.

⚡️ Работа с уязвимостями

Найденные уязвимости показываются прямо в окне текстового редактора при открытии файла манифеста. Кроме того, с уязвимостями можно работать в окне плагина, где доступны поиск и группировка по различным критериям.

⚡️ Политики безопасности

Теперь есть возможность проверить соответствие политикам безопасности, не уходя в конвейер сборки. В отчёте сканирования можно увидеть сработавшие политики безопасности с информацией об уязвимостях и заранее оценить возможность успешной сборки.

⚡️ Исправление уязвимостей “в один клик”

Плагин позволяет исправлять все найденные уязвимости в один клик. В этом случае обновятся все версии уязвимых пакетов в манифестах. Если какие-то файлы нужно исключить из массового исправления, их можно указать в специальном файле. Для точечных обновлений также можно применять исправление для каждого компонента отдельно через окно плагина или в окне редактирования текста.

⚡️ Отчёт

По окончании анализа создаётся файл отчёта в формате HTML, содержащий сводку по найденным пакетам, связанным с ними уязвимостям и лицензиям, а также нарушенным политикам.


Плагины для сред разработки помогают проверять безопасность приложения прямо во время написания кода в привычном интерфейсе. А исправлять проблемы безопасности можно сразу, не дожидаясь задачи от специалистов по безопасности или от клиентов.

Плагины доступны всем пользователям модуля CodeScoring.SCA, а для получения дистрибутива можно обратиться в нашу службу Заботы. Более подробное описание работы с плагинами доступно в документации.