В середине осени мы добавили важный функционал для многих наших клиентов – возможность работы с контейнерными образами на инсталляции. Помимо этого, в течение последних трех месяцев было уделено много внимания модулю OSA и оптимизации продукта. Вот какие изменения произошли в CodeScoring:
Добавлена возможность сканирования образов из hosted и proxy Docker репозиториев на базе Sonatype Nexus Repository и JFrog Artifactory. Подробнее о работе с Docker-образами можно прочесть в документации.
Большое обновление получили плагины OSA для прокси-репозиториев: появилась возможность блокировки скачивания образов из Docker репозиториев при несоответствии политикам безопасности и настраивать режимы работы плагина.
Консольный агент Johnny теперь выводит сводную информацию о степени критичности уязвимостей, имеет возможность настройки формата таблицы с результатами сканирования, а также лучше разбирает манифесты .gradle.kts.
Уменьшен размер поставляемых Docker-образов CodeScoring.
Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов в CodeScoring OSA – теперь данные о загружаемом компоненте приходят быстрее.
Добавлен параметр Matched criteria в раздел Policy alerts. Параметр позволяет быстро узнать какое условие стало причиной срабатывания политики.
Добавлено новое условие политики – возраст уязвимости.
Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди.
Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API.
Добавлено скрытие пароля и токена в настройках подключения к Jira.
Добавлена возможность указания спецсимволов в пароле для подключения к базе данных.
Добавлено сохранение фильтров между вкладками в разделе Policy alerts
Возвращено моментальное удаление Policy Alert из списка Active после создания правила игнорирования политики.
Ускорена работа анализа при большом количестве Policy ignores.
Исправлены различные недочеты и ошибки в системе: дубликаты уязвимостей в SBOM с разными затронутыми версиями, отображение игнорируемых политик в разделе Policy Ignores, наличие полей Source files и Parents на странице зависимости, открытие страницы просмотра Policy Ignore и отображение ошибки git 128 при работе с VCS.