В середине лета команда CodeScoring реализовала новый механизм настройки политик безопасности, который включает в себя гибкое комбинирование условий с помощью логических выражений. Заметные изменения претерпел и другой функционал в системе, вот полный список нововведений с июля по сентябрь 2024 года:
Помимо этого, были проведены работы по оптимизации потребления памяти при генерации PDF-отчетов, а также исправлены ошибки с экспортом CSV, отображения Matched Criteria и расчета статуса блокировки в OSA. Полный список изменений можно увидеть на странице Changelog в документации.
- Реализован новый подход к настройке политик безопасности. Подробнее про него можно прочитать в нашей статье.
- Добавлено новое условие для политик – количество уязвимостей в зависимости.
- Реализовано фоновое формирование скачиваемых файлов и ускорена их раздача – экспорт PDF и CSV отчетов стал значительно быстрее, а управлять их загрузкой стало удобнее.
- Расширен дашборд на главной странице системы – теперь там можно найти метрики OSA и количество блокирующих Policy Alerts.
- Добавлена возможность указывать лицензию для CLI проектов при создании через консольного агента.
- Дополнен список типов репозиториев. Теперь в разделе Repository Managers отображаются все репозитории внутри подключаемых менеджеров Nexus и Jfrog.
- Добавлена поддержка Bearer авторизации для Container Registries.
- Обновлен функционал, связанный с LDAP – в его рамках реализован поиск групп через записи об атрибутах пользователей, пагинация и улучшенные инструменты диагностики.
- Добавлена возможность запускать сканирование проекта через интерфейс параллельно сканированию в Johnny. Это полезно в случаях, когда проверка одного и того же проекта происходит на нескольких этапах разработки.
- Добавлена информация о количестве созданных Policy Alerts для каждой политики в разделе Policies.
- Добавлен фильтр по дате последнего запроса в раздел Container Images.
- Добавлена таблица с командой на страницу проекта – управлять списком авторов проекта теперь можно сразу из вкладки TQI.
- Добавлена возможность экспорта в CSV в разделе Components.
- Расширен функционал консольного агента Johnny – теперь используемые парсеры для каждой экосистемы можно настраивать через файл конфигурации, а также добавилась выгрузка ссылок и CWE в формат sarif.
- Добавлена поддержка новых типов репозиториев в JFrog OSA – cargo и composer, а также добавлен флаг для сохранения результатов сканирования в свойства артефакта.
- Ускорена работа разделов Components и Dependencies.
- Ускорен SCA анализ в случаях, когда в рамках манифеста один и тот же пакет встречается множество раз.
Помимо этого, были проведены работы по оптимизации потребления памяти при генерации PDF-отчетов, а также исправлены ошибки с экспортом CSV, отображения Matched Criteria и расчета статуса блокировки в OSA. Полный список изменений можно увидеть на странице Changelog в документации.
