В этом месяце мы уделили больше внимания модулю TQI, а также реализовали несколько ожидаемых нововведений в работе с компонентами. Вот какие изменения произошли в CodeScoring:
Интегрирован фид уязвимостей из Банка данных угроз безопасности от ФСТЭК России. На данный момент эти уязвимости объединены с идентификаторами CVE, а поле BDU на странице уязвимости содержит ссылку на соответствующую запись в базе ФСТЭК.
Реализована cтраница для вывода информации о заблокированном в Nexus OSA компоненте. При попытке скачивания компонента, который не прошел проверку соответствия политикам, в консоли пользователя отображается ссылка на страницу данного компонента в CodeScoring.
Добавлено отображение статуса в истории SCA сканирований для проектов и образов. Статус имеет три возможных значения: success, failed или cancelled.
Добавлены новые метрики SCA на странице проекта. Теперь в начале страницы можно увидеть сводную информацию по истории сканирований, составу проекта и известным уязвимостям.
Добавлена таблица с коммитами на вкладке TQI страницы проекта.
Добавлено условие политики на поиск текстовой строки в PURL и соответствие PURL регулярному выражению. Это позволяет более гибко настроить политику на конкретный компонент.
Добавлена проверка на скрытые символы при вводе активационного ключа.
Реализован запуск анализа авторов и анализа клонов по одному проекту. Запуск доступен на вкладке TQI страницы проекта.
В Nexus OSA добавлено сообщение о блокировке для ситуаций, когда registry не добавлен в CodeScoring.
Изменена ориентация раздела Vulnerabilities в PDF отчете по проекту.
Уменьшен в два раза размер Docker-образа с консольным агентом johnny.
Оптимизирован механизм перерасчета политик. Теперь при изменении существующей политики или добавлении новой Policy Alerts будут появляться быстрее.
Помимо этого, было проведено много важных исправлений в области подключения LDAP, работы с контейнерными образами и проведения анализа TQI. Полный список изменений можно увидеть на странице Changelog в документации.