Блог CodeScoring

Обновления CodeScoring за сентябрь-ноябрь 2023

В середине осени мы добавили важный функционал для многих наших клиентов – возможность работы с контейнерными образами на инсталляции. Помимо этого, в течение последних трех месяцев было уделено много внимания модулю OSA и оптимизации продукта. Вот какие изменения произошли в CodeScoring:

  • Добавлена возможность сканирования образов из hosted и proxy Docker репозиториев на базе Sonatype Nexus Repository и JFrog Artifactory. Подробнее о работе с Docker-образами можно прочесть в документации.
  • Большое обновление получили плагины OSA для прокси-репозиториев: появилась возможность блокировки скачивания образов из Docker репозиториев при несоответствии политикам безопасности и настраивать режимы работы плагина.
  • Консольный агент Johnny теперь выводит сводную информацию о степени критичности уязвимостей, имеет возможность настройки формата таблицы с результатами сканирования, а также лучше разбирает манифесты .gradle.kts.
  • Уменьшен размер поставляемых Docker-образов CodeScoring.
  • Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов в CodeScoring OSA – теперь данные о загружаемом компоненте приходят быстрее.
  • Добавлен параметр Matched criteria в раздел Policy alerts. Параметр позволяет быстро узнать какое условие стало причиной срабатывания политики.
  • Добавлено новое условие политики – возраст уязвимости.
  • Добавлены метрики по количеству и времени запросов, а также статусу сканирования и блокировки компонента в CodeScoring OSA.
  • Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди.
  • Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API.
  • Добавлено скрытие пароля и токена в настройках подключения к Jira.
  • Добавлена возможность указания спецсимволов в пароле для подключения к базе данных.
  • Добавлено сохранение фильтров между вкладками в разделе Policy alerts
  • Возвращено моментальное удаление Policy Alert из списка Active после создания правила игнорирования политики.
  • Ускорена работа анализа при большом количестве Policy ignores.
  • Исправлены различные недочеты и ошибки в системе: дубликаты уязвимостей в SBOM с разными затронутыми версиями, отображение игнорируемых политик в разделе Policy Ignores, наличие полей Source files и Parents на странице зависимости, открытие страницы просмотра Policy Ignore и отображение ошибки git 128 при работе с VCS.

Следите за нововведениями в канале CodeScoring Updates и на странице Changelog в документации!
2023-12-04 16:00