Подводим итоги нашей работы за последние четыре месяца года и делимся результатами.
Закрытое тестирование проходит функция сканирования Docker-образов. О деталях мы расскажем в отдельном анонсе.
Добавлена интеграция с двумя новыми базами уязвимостей: OSS Index от Sonatype и OSV от Google. Последняя агрегирует в себя 15 экосистемных фидов.
Открыт API для всех сущностей on-premise инсталляции. Теперь есть возможность создавать собственные автоматизации и настраивать гибкие интеграции со сторонними сервисами.
Взаимодействие on-premise инсталляции с облаком CodeScoring переведено на асинхронный режим. Это существенно оптимизирует работу системы по сети, сокращает количество постоянных соединений, убирает зависимость от таймаутов, делает получение результатов более надёжным. Огромный плюс для наших клиентов, работающих через локальные прокси.
Добавлены новые параметры настройки политик, например: возраст зависимости, идентификатор CWE, условие отсутствия данных о пакете. В общей сложности для создания политик на данный момент доступно 20 условий, которые можно свободно комбинировать.
Дополнительно стал доступен набор преднастроенных политик для оповещений об обнаружении protestware пакетов на основе фида toxic-repos.
Расширены возможности консольного агента: распаковка и сканирование архивов, расширенная поддержка Gradle Dependency Tree, поддержка последних стандартов Yarn-манифестов, улучшен разбор манифестов Conan.
Оповещения политик теперь можно отложить на определенный промежуток времени или до указанной даты с помощью функций “ignore for” и “ignore until”.
Расширены события аудит лога, в том числе теперь сохраняются события входа пользователей.
Существенно оптимизирована скорость проверок через Firewall, время ожидания при установке пакетов сократилось в несколько раз.
Для удобства наших клиентов мы перешли на схему версионирования CalVer.
Как всегда, за кадром было сделано ещё много технической и аналитической работы, и ещё много полезных обновлений уже в разработке.