В этом релизе мы сосредоточились на расширении взаимодействия с алертами, кастомизации выгрузок и переходе на новую версию Index API. Также добавили несколько полезных обновлений в политиках безопасности и провели техническую оптимизацию системы.
Детальный просмотр истории сканирований
В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа.
Получение данных через новый Index API
Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность.
Управление алертами и результатами анализа вручную
Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия.
Новый уровень доступа
Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации.
Улучшения экспортов: кастомизация и новые данные
Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем.
Дополнительно мы добавили полезные поля в результаты композиционного анализа:
В таблице зависимостей появилась колонка “Максимальная исправленная версия” – она помогает быстро понять, какую версию выбрать для устранения наибольшего числа уязвимостей;
В отчётах по алертам добавлено поле “Технология”, упрощающее сортировку и аналитику.
Новые условия и гибкость в политике безопасности
Система политик получила несколько точечных, но удобных обновлений:
Добавлено условие “Зависимость является потомком” – с его помощью можно фильтровать вложенные зависимости конкретного пакета. Это особенно полезно при анализе сложных проектов.
Реализована отложенная блокировка – она выражается количеством дней от первого срабатывания политики блокировки.
Игнор политик теперь можно назначать сразу на всю группу проектов – без необходимости задавать каждый по отдельности.
Появилась возможность передавать флаги пакетным менеджерам при разрешении зависимостей – это полезно, например, для фильтрации списка получаемых зависимостей;
Отчеты всех форматов теперь содержат больше информации: поля Relation, Parents, Match type и Env появились в CSV, информация о лицензиях – в текстовых и табличных отображениях, а выгрузка в sarif теперь содержит признак наличия публичных эксплойтов.
Улучшен анализ сборки С/С++ с использованием eBPF
Полный список изменений можно посмотреть на странице Changelog в документации.