Сегодня наибольшая часть программного обеспечения создаётся в средах разработки — IDE. Они предлагают удобные редакторы кода, встроенные отладчики, интеграции с внешними системами вроде VCS, трекерами задач и другими. В общем, дают всё необходимое в одном приложении, чем значительно упрощают процесс разработки.
А для того, чтобы в IDE можно было проверять ещё и безопасность проектов, мы подготовили новый инструмент в рамках платформы CodeScoring — расширения для сред разработки Visual Studio Code и IDE от JetBrains.
Плагины позволяют анализировать зависимости проекта с помощью CodeScoring в IDE, делая процесс композиционного анализа доступнее и удобнее для разработчиков. Возможность поиска уязвимостей на этапе написания кода делает исправление проблем безопасности быстрее и проще, значительно сокращая время на “возвратах” со сборки.
На данный момент поддерживаются среды разработки Visual Studio Code версии 1.95.0 и выше и IntelliJ-based версии 2024.1 и выше. К последним относятся продукты JetBrains, такие как PyCharm, GoLand, WebStorm и другие.
Анализ и генерация SBoM
В плагине используется консольный агент Johnny, который проводит полноценный анализ и генерацию SBoM-файлов для всех поддерживаемых в CodeScoring технологий. Полный список технологий можно посмотреть в документации. В формируемых SBoM-файлах содержится информация об используемых пакетах и их версиях. С помощью этих файлов можно отслеживать историю изменений в манифестах, а также сравнивать состав пакетов в разных версиях приложения.
Работа с уязвимостями
Найденные уязвимости показываются прямо в окне текстового редактора при открытии файла манифеста. Кроме того, с уязвимостями можно работать в окне плагина, где доступны поиск и группировка по различным критериям.
Политики безопасности
Теперь есть возможность проверить соответствие политикам безопасности, не уходя в конвейер сборки. В отчёте сканирования можно увидеть сработавшие политики безопасности с информацией об уязвимостях и заранее оценить возможность успешной сборки.
Исправление уязвимостей “в один клик”
Плагин позволяет исправлять все найденные уязвимости в один клик. В этом случае обновятся все версии уязвимых пакетов в манифестах. Если какие-то файлы нужно исключить из массового исправления, их можно указать в специальном файле. Для точечных обновлений также можно применять исправление для каждого компонента отдельно через окно плагина или в окне редактирования текста.
Отчёт
По окончании анализа создаётся файл отчёта в формате HTML, содержащий сводку по найденным пакетам, связанным с ними уязвимостям и лицензиям, а также нарушенным политикам.
Плагины для сред разработки помогают проверять безопасность приложения прямо во время написания кода в привычном интерфейсе. А исправлять проблемы безопасности можно сразу, не дожидаясь задачи от специалистов по безопасности или от клиентов.
Плагины доступны всем пользователям модуля CodeScoring.SCA, а для получения дистрибутива можно обратиться в нашу службу Заботы. Более подробное описание работы с плагинами доступно в документации.