В этом релизе мы сделали анализ уязвимостей глубже, усилили поддержку стандартов и расширили интеграции. Обновления также затронули политики безопасности и модуль TQI.
Определение достижимости уязвимостей
В платформе появилась одна из самых ожидаемых возможностей – анализ достижимости уязвимостей. С помощью агента Johnny теперь можно проверить использование уязвимых вызовов в подключаемых библиотеках. Эти данные помогают фильтровать находки и в первую очередь устранять уязвимости, представляющие наибольшую опасность.
Совместно с научно-техническим центром «Фобос-НТ» мы подготовили собственную базу знаний: в ходе экспертного исследования репозиториев для каждой уязвимости были выделены характерные вызовы, что позволило добиться высокой точности покрытия.
В основе анализа лежит построение графа вызовов, для чего используется модуль Svace Института системного программирования РАН, интегрированный в CodeScoring.
Результаты анализа достижимости доступны в отчётах Johnny и в интерфейсе CodeScoring. В политиках безопасности появился новый критерий для проверки достижимых уязвимостей. Подробнее можно прочитать в документации.
На данный момент поддерживается язык Java, а в ближайших релизах список языков будет расширен.
Формирование SBoM без участия инсталляции и другие улучшения Johnny
Агент Johnny теперь умеет формировать SBoM, не отправляя результаты на инсталляцию CodeScoring. Это позволяет осуществлять работу агента в изолированном контуре и получать итоговые отчеты локально.
Помимо этого формируемый SBoM стал точнее соответствовать рекомендациям ФСТЭК России – в нем появилось конфигурируемое на уровне проекта поле manufacturer. Большая работа проделана по улучшению качества ссылок на репозитории с исходным кодом библиотек.
Также, агент теперь поддерживает разбор новых форматов манифестов: deps.json и sln для .NET.
OpenID Connect (OIDC)
Добавлена поддержка OIDC для аутентификации. Это упростит интеграцию с корпоративными системами единого входа, такими как Keycloak, и сделает процесс авторизации более безопасным.
Поддержка SPDX
CodeScoring теперь умеет выгружать SBoM в формате SPDX. Это расширяет совместимость с внешними инструментами и соответствует отечественным и международным практикам управления цепочкой поставок ПО.
Новые возможности в TQI
В модуле Teams & Quality Intelligence появились новые метрики и улучшения аналитики:
Улучшения в политиках
Система политик стала ещё гибче:
Кастомные шаблоны уведомлений и тикетов
При создании задач в Jira и email-уведомлений теперь можно использовать собственные шаблоны. Это позволяет адаптировать сообщения под формат конкретной команды или проекта.
Локализация PDF-отчётов
PDF-отчёты, формируемые из интерфейса, теперь поддерживают локализацию. Это упрощает подготовку материалов для команд и внешних аудиторов.
Другие улучшения
Полный список изменений можно посмотреть на странице Changelog в документации.
Определение достижимости уязвимостей
В платформе появилась одна из самых ожидаемых возможностей – анализ достижимости уязвимостей. С помощью агента Johnny теперь можно проверить использование уязвимых вызовов в подключаемых библиотеках. Эти данные помогают фильтровать находки и в первую очередь устранять уязвимости, представляющие наибольшую опасность.
Совместно с научно-техническим центром «Фобос-НТ» мы подготовили собственную базу знаний: в ходе экспертного исследования репозиториев для каждой уязвимости были выделены характерные вызовы, что позволило добиться высокой точности покрытия.
В основе анализа лежит построение графа вызовов, для чего используется модуль Svace Института системного программирования РАН, интегрированный в CodeScoring.
Результаты анализа достижимости доступны в отчётах Johnny и в интерфейсе CodeScoring. В политиках безопасности появился новый критерий для проверки достижимых уязвимостей. Подробнее можно прочитать в документации.
На данный момент поддерживается язык Java, а в ближайших релизах список языков будет расширен.
Формирование SBoM без участия инсталляции и другие улучшения Johnny
Агент Johnny теперь умеет формировать SBoM, не отправляя результаты на инсталляцию CodeScoring. Это позволяет осуществлять работу агента в изолированном контуре и получать итоговые отчеты локально.
Помимо этого формируемый SBoM стал точнее соответствовать рекомендациям ФСТЭК России – в нем появилось конфигурируемое на уровне проекта поле manufacturer. Большая работа проделана по улучшению качества ссылок на репозитории с исходным кодом библиотек.
Также, агент теперь поддерживает разбор новых форматов манифестов: deps.json и sln для .NET.
OpenID Connect (OIDC)
Добавлена поддержка OIDC для аутентификации. Это упростит интеграцию с корпоративными системами единого входа, такими как Keycloak, и сделает процесс авторизации более безопасным.
Поддержка SPDX
CodeScoring теперь умеет выгружать SBoM в формате SPDX. Это расширяет совместимость с внешними инструментами и соответствует отечественным и международным практикам управления цепочкой поставок ПО.
Новые возможности в TQI
В модуле Teams & Quality Intelligence появились новые метрики и улучшения аналитики:
- сравнение активности нескольких авторов на одном графике;
- расчёт активности авторов с учётом релевантных месяцев, когда автор коммитил изменения;
- метрика участия авторов в проектах.
Улучшения в политиках
Система политик стала ещё гибче:
- добавлено условие для описания «глубины» транзитивности уязвимых зависимостей;
- условия в выпадающих списках разделены на секции для удобства;
- стало проще переносить правила внутри политик.
Кастомные шаблоны уведомлений и тикетов
При создании задач в Jira и email-уведомлений теперь можно использовать собственные шаблоны. Это позволяет адаптировать сообщения под формат конкретной команды или проекта.
Локализация PDF-отчётов
PDF-отчёты, формируемые из интерфейса, теперь поддерживают локализацию. Это упрощает подготовку материалов для команд и внешних аудиторов.
Другие улучшения
- Добавлен фильтр найденных секретов по статусу.
- В отчёты добавлена информация о максимально исправленной версии компонента.
- Улучшена локализация и стабильность интерфейса.
Полный список изменений можно посмотреть на странице Changelog в документации.
