Российское решение композиционного анализа программного обеспечения для безопасной работы с open source, проверки совместимости лицензий и оценки качества кода в разрезе команды

Платформа композиционного анализа программного обеспечения

CodeScoring
Российское решение композиционного анализа программного обеспечения для безопасной работы с open source, проверки совместимости лицензий и оценки качества кода в разрезе команды
Платформа композиционного анализа ПО
CodeScoring
Инвентаризация собственного и стороннего кода
Анализируем состав кода, автоматически находим файлы манифестов пакетных менеджеров, выявляем прямые и транзитивные зависимости от открытого программного обеспечения (OSS). Генерируем Реестр компонентных связей (Software Bill of Materials, SBoM)
Какие проблемы решаем
Мы много работаем над выпуском новых функций, которые помогут сделать вашу разработку более безопасной и прозрачной. Здесь мы перечислили некоторые из них.
Защита цепочки поставки
Обеспечиваем защиту от вредоносных компонентов, включая скомпрометированные пакеты, предлагаем политики предотвращения атак на цепочку поставки ПО. Интегрируемся с Nexus Repository Manager и JFrog Artifactory Pro.
Поиск уязвимостей в Open Source
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, БДУ ФСТЭК, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Лицензионная чистота
Определяем лицензии обнаруженных Open Source компонентов. Проверяем их совместимость между собой. Отслеживаем соблюдение лицензионных политик организации.
Определение качества анализируемых продуктов
Анализируем исходный код на ключевые маркеры технического долга, автоматически строим профили разработчиков и показываем ретроспективные оценки качества в динамике.
Инвентаризация собственного и стороннего кода
Анализируем состав кода, автоматически находим файлы манифестов пакетных менеджеров, выявляем прямые и транзитивные зависимости от открытого программного обеспечения (OSS). Генерируем Реестр компонентных связей (Software Bill of Materials, SBoM)
Какие проблемы решаем
Мы много работаем над выпуском новых функций которые помогут сделать вашу разработку более безопасной и прозрачной. Здесь мы перечислили некоторые из них.
Защита цепочки поставки
Обеспечиваем защиту от вредоносных компонентов, включая скомпрометированные пакеты, предлагаем политики предотвращения атак на цепочку поставки ПО. Интегрируемся с Nexus Repository Manager и JFrog Artifactory Pro.
Поиск уязвимостей в Open Source
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, БДУ ФСТЭК, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Лицензионная чистота
Определяем лицензии обнаруженных Open Source компонентов. Проверяем их совместимость между собой. Отслеживаем соблюдение лицензионных политик организации.
Определение качества анализируемых продуктов
Анализируем исходный код на ключевые маркеры технического долга, автоматически строим профили разработчиков и показываем ретроспективные оценки качества в динамике.
Инвентаризация кода
Анализируем состав кода, автоматически находим файлы манифестов пакетных менеджеров, выявляем прямые и транзитивные зависимости от открытого программного обеспечения (OSS). Генерируем Реестр компонентных связей (Software Bill of Materials, SBoM)
Какие проблемы решаем
Мы много работаем над выпуском новых функций которые помогут сделать вашу разработку более безопасной и прозрачной. Здесь мы перечислили некоторые из них.
Защита цепочки поставки
Обеспечиваем защиту от вредоносных компонентов, включая скомпрометированные пакеты, предлагаем политики предотвращения атак на цепочку поставки ПО. Интегрируемся с Nexus Repository Manager и JFrog Artifactory Pro.
Поиск уязвимостей в Open Source
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, БДУ ФСТЭК, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Лицензионная чистота
Определяем лицензии обнаруженных Open Source компонентов. Проверяем их совместимость между собой. Отслеживаем соблюдение лицензионных политик организации.
Определение качества анализируемых продуктов
Анализируем исходный код на ключевые маркеры технического долга, автоматически строим профили разработчиков и показываем ретроспективные оценки качества в динамике.
Что умеет CodeScoring
CodeScoring устанавливается у заказчика и обеспечивает безопасность на всех этапах разработки ПО
02
Композиционный анализ ПО
Модуль CodeScoring SCA
Инвентаризация ПО: построение SBoM и графа зависимостей, интеграция проверок в CI-конвейер с блокирующими политиками безопасности и лицензионной чистоты
Проверка Open Source на всех этапах цикла разработки
Обнаружение Open Source зависимостей
Проверка Docker-образов и системных пакетов
Настройка политик безопасности по 30+ критериям
Предоставление информации о найденных уязвимостях и лицензиях
Графы связей компонентов
02 Композиционный анализ ПО
03 Анализ разработки и качества
03
Анализ разработки и качества
Модуль CodeScoring TQI
Анализ собственного кода организации: определение состава разработчиков, оценка параметров качества в динамике для отслеживания операционных рисков
Анализ качества кода
Построение профилей участников разработки с подтвержденной компетенцией в проектах
Функции для внутреннего рекрутинга
Определение ключевых параметров технического долга
Отчетность и интеграция в SDLC
01
Защита цепочки поставки
Модуль CodeScoring OSA
Фильтрация компонентов, попадающих в периметр организации, на базовые риски безопасности
Защита от вредоносных компонентов, включая скомпрометированные пакеты
Политики предотвращения популярных атак на цепочку поставки
Система управления выявленными уязвимостями
01 Защита цепочки поставки
Интеграция с Nexus Repository Manager и Jfrog Artifactory PRO
Идентификация секретов в коде
04
Модуль CodeScoring Secrets
Идентификация конфиденциальной информации в исходных кодах. Применяется модель машинного обучения для снижения объема ложно-положительных срабатываний
Идентификация секретов
Управление конфигурациями сканирований
Разметка True positive / False positive
Оценка истинности срабатывания (ML)
Проверка Docker-образов
04 Идентификация секретов в коде
Что умеет CodeScoring
CodeScoring устанавливаются у заказчика и обеспечивает безопасность на всех этапах разработки ПО
Защита цепочки поставки
Композиционный анализ ПО
Анализ разработки и качества
01
02
03
Защита от вредоносных компонентов включая скомпрометированные пакеты
Проверка Open Source на всех этапах цикла разработки
Анализ качества кода
Политики предотвращения популярных атак на цепочку поставки
Обнаружение Open Source зависимостей
Построение профилей участников разработки с подтвержденной компетенцией в проектах
Фильтрация компонентов попадающих в периметр организации на базовые риски безопасности
Инвентаризация ПО: построение SBoM и графа зависимостей, интеграция проверок в CI-конвейер с блокирующими политиками безопасности и лицензионной чистоты
Анализ собственного кода организации: определение состава разработчиков, оценка параметров качества в динамике для отслеживания операционных рисков
Функции для внутреннего рекрутинга
Графы связей компонентов
Определение ключевых параметров технического долга
Проверка Docker-образов и системных пакетов
Интеграция с Nexus Repository Manager и Jfrog Artifactory PRO
Предоставление информации о найденных уязвимостях и лицензиях
Отчетность и интеграция в SDLC
Модуль CodeScoring SCA
Модуль CodeScoring TQI
Система управления выявленными уязвимостями
Модуль CodeScoring OSA
Настройка политик безопасности по 30+ критериям
02 Композиционный анализ ПО
03 Анализ разработки и качества
01 Защита цепочки поставки
Идентификация секретов в коде
04
Модуль CodeScoring Secrets
Идентификация конфиденциальной информации в исходных кодах. Применяется модель машинного обучения для снижения объема ложно-положительных срабатываний
Идентификация секретов
Управление конфигурациями сканирований
Разметка True positive / False positive
Оценка истинности срабатывания (ML)
Проверка Docker-образов
04 Идентификация секретов в коде
«Решение CodeScoring подходит банкам, IT-компаниям, телеком операторам, компаниям в области здравоохранения, компьютерной безопасности и другим организациям, для которых важны вопросы кибербезопасности и качества собственных продуктов»
Алексей Смирнов, Генеральный директор Profiscope
Profiscope
Работаем с мировой базой Open Source c 2011 года. С 2019 делаем конференцию по анализу исходных кодов CodeMining в OpenDataScience. В январе 2021 года выпустили коммерческую версию CodeScoring на рынок инструментов безопасной разработки.
> 200 млн
> 30 экспертов
> 5 лет
Проанализированных Open Source проектов и библиотек
Разработка платформы, сбор и анализ данных о мировом open source и его уязвимостях
Опыта проведения ИТ-аудита и разработки собственных анализаторов кода
Алексей Смирнов, Гендиректор Profiscope
Наши партнеры
Наши партнеры
Политики безопасности для каждого этапа разработки
Проверка компонентов на каждом этапе жизненного цикла разработки ПО, для каждого этапа может быть настроена отдельная политика
Публичные реестры OpenSource
Сборка проектов CI конвейер +
Безопасный продукт
Контроль исходного кода
Прокси репозитории
Проверка компонентов в прокси-репозиториях: блокирование вредоносных и особо уязвимых пакетов
Проверка в рамках конвейера разработки: от сканирования директории с кодом, проверки артефактов до сканирования образов
Регулярная проверка исходных кодов которые ещё не дошли до сборки и уведомление ответственных. Рекуррентное сканирование кода и SBoM.
Удобный интерфейс
CodeScoring обеспечивает комфортную работу и понятный интерфейс для решения ваших задач
Работа с зависимостями
Мы реализовали удобный интерактивный граф связей, на котором вы сразу можете понять связи между компонентами и получить подробную информацию по проблемным зависимостям
Удобный интерфейс
CodeScoring обеспечивает комфортную работу и понятный интерфейс для решения ваших задач
Работа с зависимостями
Мы реализовали удобный интерактивный граф связей, на котором вы сразу можете понять связи между компонентами и получить подробную информацию по проблемным зависимостям
Получить демо
Здесь вы можете запросить демо, уточнить стоимость, получить образовательную лицензию или стать нашим партнером.
Публикации