В версии 2026.20.0 основной акцент сделан на разборе находок, приоритизации и организации результатов по проектам и образам.
Отдельное внимание уделили работе с составом компонентов: в платформе появились инструменты для работы с внутренними пакетами, новые данные для оценки уязвимостей и дополнительные возможности при импорте и выгрузке SBOM.
Триаж уязвимостей по стандарту VEX
В CodeScoring.SCA появился механизм триажа уязвимостей по стандарту VEX. Теперь для найденных уязвимостей можно назначать статус, указывать обоснование и фиксировать принятые решения.
Разбор уязвимостей стал ближе к рабочему процессу команды: по каждой находке можно не только увидеть технические данные, но и сохранить результат анализа, например подтверждение проблемы или решение о том, что уязвимость не затрагивает проект.
Также обновлены данные и возможности работы с уязвимостями:
добавлены условия политик для отозванных зависимостей и ПО-вымогателей;
в экспериментальном режиме добавлена поддержка графа вызовов Joern для языка JavaScript для анализа достижимости уязвимых функций;
добавлен источник CISA KEV Catalog;
добавлены столбцы и фильтры по EPSS и SSVC;
обновлена логика отображения статуса отзыва.
CodeScoring.Secrets и TruffleHog
В CodeScoring.Secrets добавлена поддержка сканирования движком TruffleHog. Разные движки находят разные секреты, а CodeScoring дедуплицирует находки, чтобы команда работала с единым результатом без ручного сопоставления повторов.
Johnny также получил поддержку TruffleHog. Помимо этого в агенте расширены сценарии сканирования секретов: добавлены git-режим, флаг --commit для сканирования директорий и флаги для передачи конфигураций Gitleaks и TruffleHog.
Слои контейнерных образов
В CodeScoring.OSA появилась отдельная страница списка слоев образов. Также таблицы слоев добавлены на страницу отсканированного образа в проекте и на страницу контейнерного образа.
Для работы со слоями в Johnny добавлены команды создания слоев контейнерных образов.
Внутренние пакеты и SBOM
Для работы с внутренними пакетами (inner source) добавлены настройки на странице зависимостей проекта и фильтрация при выгрузке SBOM. Речь о пакетах, которые компания разрабатывает внутри и не публикует в open source.
При импорте SBOM Johnny теперь обрабатывает свойства GOST:provided_by, inner_source и source-distribution.
Управление ветками проектов
Отдельно продолжается работа над более гибкой моделью версий в SCA-проектах. В этом релизе стали видны отдельные элементы этой модели: теперь ветками можно управлять в настройках проекта.