С момента прошлой сводки обновлений в СodeScoring вышло три плановых релиза инсталляции и консольного агента, а также несколько релизов плагинов. Рассказываем о ключевых нововведениях за это время.
Важными событиями стали выпуск бета-версии нового модуля Secrets, локализации системы на русский язык, полная поддержка стандарта CycloneDX 1.6 и адаптация функционала выгрузки SBoM к большинству требований ФСТЭК России по формированию перечня программных компонентов.
SBoM, CycloneDX 1.6 и требования ФСТЭК
Добавлена поддержка спецификации CycloneDX 1.6 для импорта и экспорта SBoM. Для новых результатов SCA-анализов добавлена возможность выбора версии CycloneDX при скачивании SBoM.
Дополнительно добавлена выгрузка SBoM с добавлением полей GOST:source_lang, GOST:attack_surface и GOST:security_function для соответствия требованиям ФСТЭК России к перечню программных компонентов. Администратор может указать значения для данных полей, а также добавить или отредактировать ссылки на VCS пакетов. Значения будут учтены в рамках выгрузки в специальном формате CycloneDX 1.6 Ext. Подробнее новые свойства описаны в документации CodeScoring.
Помимо этого улучшена выгрузка SBoM во все версии CycloneDX: добавлена информация об отсканированном приложении и версии инсталляции, обновлён устаревший формат указания авторства компонентов, исправлен формат лицензии компонентов. Данные изменения доступны для новых результатов SCA-анализа.
Бета-версия Codescoring Secrets
CodeScoring Secrets – это модуль для поиска чувствительной информации в коде (пароли, API ключи, токены), который использует собственную модель машинного обучения для значительного снижения количества ложных срабатываний при сканировании.
Поиск секретов осуществляется через открытые инструменты анализа, на данный момент интегрирован Gitleaks.
Доступ к модулю для тестирования и пилотирования уже можно запросить.
Бета-версия перевода на русский язык
Наибольшая часть системы теперь доступна на русском и английском языках. Улучшения и перевод некоторых разделов будут завершены до конца года.
Переключение языка доступно на странице профиля пользователя.
Вебхуки
Начиная с версии 2024.48.0 в систему добавлена возможность настройки вебхуков на ключевые события, такие как сработавшие политики и запуск сканирования. Полный список событий и инструкция по настройке доступна в документации.
Другие изменения инсталляции
Добавлена классификация “Опасный пакет” и соответствующая политика для модуля OSA. Опасными помечаются пакеты с известными Malware и определёнными типами CWE в уязвимостях. Сбор данных о malware осуществляется из GitHub Security Advisory.
Реализована зависимость фильтров друг от друга в разделах Policy Alerts, Dependencies и Vulnerabilities. Таким образом при выборе двух и более фильтров пользователь видит только актуальные значения.
Добавлено отображение признака Has Exploit в таблицу уязвимостей и на страницу уязвимости. Признак позволяет определить какие уязвимости имеют известные эксплойты, что помогает лучше приоритизировать их устранение.
Добавлен вывод Policy Alerts, отображение дерева зависимостей и сортировка уязвимостей в PDF-отчет по проекту.
Добавлена возможность сортировки по Fixed version в таблице уязвимостей.
Добавлены дополнительные даты на странице просмотра компонента в разделе Packages: даты первого и последнего запроса к пакету, дата последнего расчёта политик, а также дата обновления информации по пакету.
Добавлены условия политик на регистрозависимый поиск строки в названии пакета С помощью условия “contains (case sensitive)” можно настроить более точное определение нужного компонента.
Добавлен фильтр Has vulnerabilities и колонка с количеством уязвимостей при просмотре списка в разделах Components.
Добавлена таблица с проектами, в которых используется компонент, на странице просмотра компонента в разделе Components.
Добавлена возможность запустить анализ пакета с его страницы в разделе Components.
Зафиксированы ключевые колонки в таблицах при горизонтальном скроллинге. Теперь просматривать большие таблицы в таких разделах как Vulnerabilities стало удобнее.
Обновлено отображение критериев уведомления в Policy Alerts. Теперь в колонке matched criteria можно увидеть полный контекст срабатывания политики с идентификатором компонента и уязвимости.
Добавлены ссылки со страницы результатов сканирования по проекту на страницу настроек проекта и обратно.
Реализована возможность свернуть блок фильтров в разделах с фильтрацией. Это облегчает восприятие разделов с большим количеством фильтров.
В письмах с оповещениями об алертах идентификатор уязвимости теперь содержит ссылку страницу уязвимости в системе.
Добавлено оповещение об окончании срока действия ключа активации.
Консольный агент Johnny
Консольный агент теперь поддерживает парсинг манифестов экосистемы Conda и разбор pnpm-lock.yaml. Добавлено разрешение зависимостей в окружении сборки для pip, composer и pnpm.
Помимо этого в агенте появилась возможность указать группу при создании CLI проекта и формат генерируемого SBoM при анализе.
Также проделана большая работа по более точному объединению информации из основного манифеста и лок-файла для построения правильного графа зависимостей проекта. И улучшено построение графа зависимостей для форматов, допускающих несколько версий одного пакета.
Плагины OSA для Nexus Repository Manager и JFrog Artifactory
Плагин Nexus OSA получил возможность указывать формат репозиториев для анализа с помощью capability All Repositories Scan, а также поддержку PHP Composer репозиториев при использовании community-плагина.
JFrog OSA y теперь поддерживает версии JFrog Artifactory v7.90 и выше, а также отправляет ссылки в CodeScoring на артефакт и пользователя, скачивающего его, при условии версии инсталляции 2024.48.0 и выше.
Помимо перечисленных нововведений, проведена большая работа над оптимизацией работы системы. Для оптимизации потребления памяти инсталляцией внедрено разделение подключений к Postgres, периодический перезапуск процессов для обработки фоновых задач и другие улучшения.
Полный список изменений можно увидеть на странице Changelog в документации.