В этом релизе мы сосредоточились на расширении взаимодействия с алертами, кастомизации выгрузок и переходе на новую версию Index API. Также добавили несколько полезных обновлений в политиках безопасности и провели техническую оптимизацию системы.
Детальный просмотр истории сканирований
В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа.
Получение данных через новый Index API
Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность.
Управление алертами и результатами анализа вручную
Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия.
Новый уровень доступа
Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации.
Улучшения экспортов: кастомизация и новые данные
Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем.
Дополнительно мы добавили полезные поля в результаты композиционного анализа:
Новые условия и гибкость в политике безопасности
Система политик получила несколько точечных, но удобных обновлений:
Johnny: подпись SBoM и улучшенная доступность
Johnny теперь поддерживает подпись и верификацию перечней программных компонентов. Это важно для соответствия требованиям безопасности и интеграции с внешними процессами поставки ПО. Помимо этого:
Полный список изменений можно посмотреть на странице Changelog в документации.
Детальный просмотр истории сканирований
В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа.
Получение данных через новый Index API
Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность.
Управление алертами и результатами анализа вручную
Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия.
Новый уровень доступа
Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации.
Улучшения экспортов: кастомизация и новые данные
Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем.
Дополнительно мы добавили полезные поля в результаты композиционного анализа:
- В таблице зависимостей появилась колонка “Максимальная исправленная версия” – она помогает быстро понять, какую версию выбрать для устранения наибольшего числа уязвимостей;
- В отчётах по алертам добавлено поле “Технология”, упрощающее сортировку и аналитику.
Новые условия и гибкость в политике безопасности
Система политик получила несколько точечных, но удобных обновлений:
- Добавлено условие “Зависимость является потомком” – с его помощью можно фильтровать вложенные зависимости конкретного пакета. Это особенно полезно при анализе сложных проектов.
- Реализована отложенная блокировка – она выражается количеством дней от первого срабатывания политики блокировки.
- Игнор политик теперь можно назначать сразу на всю группу проектов – без необходимости задавать каждый по отдельности.
Johnny: подпись SBoM и улучшенная доступность
Johnny теперь поддерживает подпись и верификацию перечней программных компонентов. Это важно для соответствия требованиям безопасности и интеграции с внешними процессами поставки ПО. Помимо этого:
- Добавлена выгрузка алертов в различных форматах;
- Значительно улучшена работа с проектами Gradle: теперь можно работать с мультимодульными сборками и объединенном формате зависимостей в build.gradle;
- Агент теперь можно скачать прямо из инсталляции – без прямого доступа к реестру;
- Появилась возможность передавать флаги пакетным менеджерам при разрешении зависимостей – это полезно, например, для фильтрации списка получаемых зависимостей;
- Отчеты всех форматов теперь содержат больше информации: поля Relation, Parents, Match type и Env появились в CSV, информация о лицензиях – в текстовых и табличных отображениях, а выгрузка в sarif теперь содержит признак наличия публичных эксплойтов.
- Улучшен анализ сборки С/С++ с использованием eBPF
Полный список изменений можно посмотреть на странице Changelog в документации.
