Помимо регулярно обнаруживаемых уязвимостей, ежедневно в открытые экосистемы хранения open source пакетов внедряются компоненты вредоносного содержания, которые могут попасть в окружение организации-разработчика и привести к нежелательным последствиям кражи или потери данных.
> 200 млн
x2.5
x13
Проектов с открытым исходным кодом включающих более 5 млн. готовых пакетов, которые насчитывают более 75 млн. версий
Увеличилась скачиваемость открытых компонентов за последний год
С 22 на 23 год выросло количество известных атак на цепочки поставки: Dependency Confusion, Typosquatting и др.
Dependency Confusion
Typosquatting
Namesquatting
Repojacking
Brandjacking
Malicious Code Injection
OSV
NVD CVE
GHSA
OSSIndex
Определение и исправление уязвимостей
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Ключевые возможности CodeScoring.OSA
Фильтрация компонентов, попадающих в периметр организации, на базовые риски безопасности. Плагины CodeScoring встраиваются в прокси-репозитории Nexus Repository и JFrog Artifactory и блокируют вредоносные или уязвимые компоненты согласно настроенным политикам безопасности.
Гибкая система политик
Выстраивая систему политик, вы можете оперировать не только параметром критичности уязвимости, но и частями CVSS-вектора или CWE, а также отслеживать пакеты по черным спискам (включая protestware), по возрасту, по автору или иным поведенческим параметрам, которые мы регулярно добавляем в систему.
Встраивание в платформу CodeScoring
Модуль OSA полностью интегрирован в платформу CodeScoring и транслирует её возможности: удобный интерфейс триажа, настройки политик, интеграции с почтовыми уведомлениями, системами управления задачами и SOAR/ASOC, расширенная ролевая модель с поддержкой AD и возможность использовать API.
OSV
NVD CVE
GHSA
OSSIndex
Определение и исправление уязвимостей
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Ключевые возможности CodeScoring.OSA
Фильтрация компонентов попадающих в периметр организации на базовые риски безопасности. Плагины CodeScoring встраиваются в прокси-репозитории Nexus Repository и JFrog Artifactory и блокируют вредоносные или уязвимые компоненты согласно настроенным политикам безопасности.
Гибкая система политик
Выстраивая систему политик вы можете оперировать не только параметром критичности уязвимости, но и частями CVSS-вектора или CWE, а также отслеживать пакеты по черным спискам (включая protestware), по возрасту, по автору или иным поведенческим параметрам которые мы регулярно добавляем в систему.
Встраивание в платформу CodeScoring
Модуль OSA полностью интегрирован в платформу CodeScoring и транслирует её возможности: удобный интерфейс триажа, настройки политик, интеграции с почтовыми уведомлениями, системами управления задачами и SOAR/ASOC, расширенная ролевая модель с поддержкой AD и возможность использовать API.
Определение и исправление уязвимостей
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Ключевые возможности CodeScoring.OSA
Фильтрация компонентов попадающих в периметр организации на базовые риски безопасности. Плагины CodeScoring встраиваются в прокси-репозитории Nexus Repository и JFrog Artifactory и блокируют вредоносные или уязвимые компоненты согласно настроенным политикам безопасности.
Гибкая система политик
Выстраивая систему политик вы можете оперировать не только параметром критичности уязвимости, но и частями CVSS-вектора или CWE, а также отслеживать пакеты по черным спискам (включая protestware), по возрасту, по автору или иным поведенческим параметрам которые мы регулярно добавляем в систему.
Встраивание в платформу CodeScoring
Модуль OSA полностью интегрирован в платформу CodeScoring и транслирует её возможности: удобный интерфейс триажа, настройки политик, интеграции с почтовыми уведомлениями, системами управления задачами и SOAR/ASOC, расширенная ролевая модель с поддержкой AD и возможность использовать API.
OSV
NVD CVE
GHSA
OSSIndex
Поддерживаемые системы
Интеграция в платформу CodeScoring
Проверка компонентов на каждом этапе жизненного цикла разработки ПО, для каждого этапа может быть настроена отдельная политика
Публичные реестры OpenSource
Сборка проектов CI конвейер +
Безопасный продукт
Контроль исходного кода
Прокси репозитории
Проверка компонентов в прокси-репозиториях: блокирование вредоносных и особо уязвимых пакетов
Регулярная проверка исходных кодов которые ещё не дошли до сборки и уведомление ответственных. Рекуррентное сканирование кода и SBoM.
Проверка в рамках конвейера разработки: от сканирования директории с кодом, проверки артефактов до сканирования образов
Получить демо
Здесь вы можете запросить демо, уточнить стоимость, получить образовательную лицензию или стать нашим партнером.