В этом релизе мы сосредоточились на развитии аналитики в модуле CodeScoring.TQI, расширении списка поддерживаемых языков в анализе достижимости уязвимостей и улучшении инструментов по работе с результатами композиционного анализа.
Поддержка новых языков в анализе достижимости
В анализ достижимости добавлены языки Python и Go. Благодаря этому команды могут оценивать реальную эксплуатируемость уязвимостей и концентрироваться на тех, что действительно влияют на безопасность, снижая объём ручной проверки.
CodeScoring.TQI: новизна кода и улучшенная аналитика
В модуле CodeScoring.TQI появился расчёт новизны кода (code churn) – метрика, которая помогает отслеживать темп изменений в кодовой базе и выявлять потенциально нестабильные участки.
Также добавлены:
метрики по коммитам и изменениям строк от авторов, которые теперь также визуализируются в профилях;
новые фильтры и поля в списке проектов автора, включая фильтрацию по технологии.
Эти обновления предоставляют командам новые инструменты анализа и оценки качества и динамики разработки.
Новая группировка SCA-проектов
В интерфейсе платформы добавился новый раздел “Группы проектов” для модуля CodeScoring.SCA. В нём агрегируется информация по композиционному анализу всех проектов внутри группы – от расчета уникальных уязвимостей до единого списка алертов.
Таким образом, стало проще управлять наборами репозиториев и отслеживать метрики безопасности на широком масштабе.
Улучшенный граф зависимостей
Реализация графа зависимостей была полностью переработана технически и существенно обновлена визуально. Теперь можно отфильтровать отображаемые связи между компонентами, отдельно работать с путями до корня проекта или дочерних связей, выбрать показ только уязвимых зависимостей или разделить граф на несколько частей по используемым технологиям. Помимо этого улучшена интерактивность графа и работа с масштабированием.
Johnny: поддержка нового пакетного менеджера UV
Агент Johnny теперь обрабатывает зависимости из пакетного менеджера UV. В рамках данной экосистемы можно анализировать манифесты типов pyproject.toml и uv.lock.
Также в Johnny:
Добавлено поле Matched Criteria в отчеты алертов
Добавлено разрешение зависимостей через механизм pipdeptree