В то время как прошлый год запомнился нам выпуском множества новой функциональности и интеграций, 2025 мы отмечаем как год технологических инноваций и укрепления позиций. За это время мы внедрили значительные улучшения в платформу, расширили сеть сотрудничества и активно участвовали в ключевых событиях отрасли. CodeScoring эволюционирует, чтобы точнее соответствовать актуальным задачам безопасной разработки и оставаться надежным партнёром для более чем 40 тысяч разработчиков в России.
Оглядываясь на прошедшие месяцы, мы рады поделиться основными успехами нашей команды и заглянуть в будущее.
Обновления продукта
В 2025 году мы перешли на фиксированный цикл релизов – теперь наши пользователи получают обновления по предсказуемому графику. Всего вышло 6 крупных обновлений самой платформы и агента Johnny, а также 5 релизов плагинов для хранилищ артефактов.
Одной из самых значимых новинок, над которой мы работали последние два года, стала возможность определения достижимости уязвимостей с применением технологий ИСП РАН. Новый метод анализа позволяет быстро выявлять реально эксплуатируемые проблемы и сокращать затраты на ручной разбор, фокусируясь на наиболее критичных угрозах. Для наиболее точного определения достижимости мы подготовили собственную базу знаний совместно с научно-техническим центром «Фобос-НТ» – первые испытания у заказчиков уже подтвердили высокую точность анализа.
Важным событием стал выпуск плагинов для сред разработки VS Code и IntelliJ IDEA, которые делают работу с анализом уязвимостей максимально удобной для разработчика. Также, поддержав интеграцию с OpenIDE и GigaIDE, мы в очередной раз подтвердили свою ориентацию на развитие и поддержку отечественной экосистемы безопасной разработки.
В этом году нам удалось реализовать несколько задач, которые долгое время считались сложными или недоступными для автоматизации. Так, например, CodeScoring стал первым инструментом, который позволяет сканировать сборки проектов на C и C++, используя технологию eBPF вместо принудительного перевода разработки на пакетный менеджер Conan.
В конце года мы представили сервис OSA Proxy в модуле CodeScoring.OSA, который позволяет внедрять проверку компонентов без привязки к хранилищам артефактов. Наши партнеры из Angara Security написали о сервисе подробную статью на Habr.
CodeScoring.Secrets стал доступен для встраивания в CI/CD, позволяя командам эффективнее работать с секретами и минимизировать риски утечек. Мы также работаем над повышением точности модели машинного обучения, применяемой для оценки истинности обнаруженных секретов.
Модуль CodeScoring.TQI получил возможность определять степень рефакторинга, строить расширенные метрики активности и улучшенные графики, позволяющие отслеживать динамику изменений в кодовой базе и принимать обоснованные решения при планировании релизов и исправлений.
Кратное ускорение анализа проектов, гибкие уведомления, формирование отдельного фида protestware, верификация и подпись SBOM, настройка отчетов, аутентификация через OpenID Connect и обновлённый интерфейс – это лишь малая часть нововведений, которые сделали платформу более удобной в этом году.
Партнерства
Развитие продукта невозможно без сильных связей. В этом году мы расширили сеть технологических и отраслевых партнёрств. Всего с CodeScoring сейчас сотрудничает более 30 компаний-партнеров и это число растет ежегодно.
В основе передовых технологий лежит обмен знаниями – мы в этом уверены и поэтому активно участвуем в совместных интеграциях, исследованиях и прикладных проектах с научными и индустриальными партнёрами, такими как Лаборатория Касперского, Институт Системного Программирования и другими организациями, входящими в РБПО-сообщество России. Например, ключевой частью анализа достижимости в CodeScoring стала интеграция технологий статического анализа Института системного программирования РАН. А в апреле совместно с ИСП РАН, НТЦ «Фобос-НТ» и «Базальт СПО» было проведено исследование агента Johnny с помощью инструмента Natch. Сейчас мы уже работаем над новыми стратегическими проектами совместно с Институтом.
На сегодняшний день CodeScoring интегрирован со всеми российскими ASOC/ASPM-платформами. В 2025 году к этому списку добавились Hexway и CyberCodeReview.
Наша последовательность в развитии продукта с учетом запросов рынка отражается и на финансовых успехах компании. В сентябре CodeScoring был признан лидером роста по версии РУССОФТ среди более 400 компаний в Ассоциации.
Мероприятия
За год команда CodeScoring посетила более 40 мероприятий с докладами и стендами, где делилась экспертизой и получала обратную связь. Среди ключевых – участие в ТБ Форуме, партнерство на PHDays Fest и SOC Forum. Уже в третий раз мы стали партнерами открытой конференции Института системного программирования им. В.П. Иванникова.
В июле мы провели первую партнерскую встречу, на которой собрали более 60 представителей наших партнеров и поделились нашими принципами и планами работы на будущее.
Второй год подряд мы проводим экспертную конференцию CodeScoring Masters, на которой награждаем выдающихся экспертов среди наших заказчиков и партнеров. В этом году Мастерами CodeScoring стали 67 человек. На CodeScoring Masters был также представлен наш маскот – внимательный робот-помощник Гавриил (GAVRIIL), о котором мы скоро расскажем подробнее.
В этом году мы уже в третий раз участвовали в IT-Регате, где одна из наших команд взяла первое место в общем зачёте!
Мы также провели два вебинара, которые собрали более 1000 человек: весной рассказывали о безопасном использовании Open Source и поиске секретов в CI/CD, а осенью – о достижимости и плагинах для IDE.
Публикации и выступления
В этом году мы стали писать больше и чаще, а также делать анонсы наших новинок, которые заслуживают отдельного внимания. Выделим главные публикации за прошедшие 12 месяцев.
Во втором выпуске журнала Information Security вышла большая статья "CodeScoring: как создавалась первая в России система композиционного анализа ПО", в которой мы поделились историей становления компании.
В журнале BIS Journal вышли три экспертные публикации:
- "Open Source: безопасное использование. О базовых практиках защиты цепочки поставки, композиционном анализе ПО и почему это полезно для разработки"
- "Код без секретов: почему это важно? К чему приводит наличие конфиденциальной информации в коде продуктов и как с этим быть"
- “Композиционный анализ — третий кит безопасной разработки. О важности и способах проверки Open Source на безопасность и качество”
Мы также продолжаем проводить собственные исследования и раскрывать результаты на тематических конференциях. Так, например, на PHDays 2025 программист-исследователь CodeScoring Никита Бесперстов рассказал о своей находке – новой уязвимости, которая затронула треть всей экосистемы Go.
В новом году мы хотим больше делиться практическими знаниями через регулярные и полезные статьи. Поэтому мы открываем блог на Habr, на который вы уже можете подписаться. Там будут как научно-популярные материалы, так и технические разборы наиболее животрепещущих тем в области безопасной разработки.
Наверстать лучшие материалы этого года можно на нашем YouTube-канале или в ВК Видео.
Поддержка образования также остаётся важной целью для нашей компании. В рамках образовательного трека мы выступили в МГТУ им. Баумана, ИТМО, ГУАП и КБТУ. Напомним, что мы всегда рады поддержать образовательные организации специальной лицензией.
Что ждать в 2026?
Мы уже готовим несколько принципиально новых решений, о которых сможем подробно рассказать в следующем году – они усилят экосистему безопасной разработки в России и позволят эффективнее управлять безопасностью проектов.
Мы благодарим пользователей, партнеров и команду за энтузиазм и вклад в CodeScoring. Ваша поддержка и идеи мотивируют нас на взятие новых высот.
С наступающим Новым годом!
