Проверим безопасность сторонних компонентов в ваших исходных кодах, артефактах сборки и образах на всех этапах разработки программного обеспечения

Проверка рисков open source на всех этапах цикла разработки ПО

Software Composition Analysis
CodeScoring.SCA
Какие проблемы решает CodeScoring.SCA
Риски применения Open Source возрастают, и ручной контроль безопасности не эффективен. CodeScoring.SCA автоматически отслеживает безопасность применения сторонних компонентов на разных стадиях SDLC, что позволяет узнавать о проблемах своевременно и выстраивать эффективную работу AppSec и R&D.
> 200 млн
x13
85%
Проектов с открытым исходным кодом, включающих более 5 млн. готовых пакетов, которые насчитывают более 75 млн. версий
С 22 на 23 год выросло количество известных атак на цепочки поставки: Dependency Confusion, Typosquatting, Namesquatting, Brandjacking, Malicious Code Injection, Repojacking и др.
Уязвимостей появляются в продукте через транзитивные зависимости. Такие зависимости, как и директивные, легко оказываются на поверхности атаки
Software Bill of Materials
Observability
Supply Chain Security
SBoM
Dependency Graph
License Compliance
Inventory
NVD CVE
OSV
OSSIndex
GHSA
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, БДУ ФСТЭК, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Определение и исправление уязвимостей
Ключевые возможности CodeScoring.SCA
Инвентаризация ПО: построение SBoM и графа зависимостей, интеграция проверок в CI-конвейер с блокирующими политиками безопасности и лицензионной чистоты. Выполняем проверку на уровне исходных кодов, собранных артефактов и образов. Есть возможность настроить свою политику для каждого отдельного этапа сборки.
Работа с лицензионным ландшафтом
Регулярно пополняемая база лицензий CodeScoring содержит информацию о 2000+ открытых лицензий. Решение сопровождается вендорской политикой лицензионной чистоты, и вы можете настроить собственные политики по предупреждению или блокированию компонентов с лицензиями, содержащими экспортные ограничения или слишком жесткие условия использования.
Идентификация компонентов и построение SBoM
Универсальный агент CodeScoring может быть запущен на локальной машине разработчика или в конвейере на нужной стадии сборки. Система обеспечивает анализ манифестов, разрешение транзитивных зависимостей и идентификацию Open Source включений в коде продукта. В результате строится реестр компонентных связей (SBoM), обогащенный информацией про уязвимости и лицензии.
Удобство проведения аудита
Система строит визуализацию выявленных связей между компонентами в виде удобного интерактивного графа, который поможет быстро идентифицировать место возникновения проблемы в компонентном стеке продукта. Также доступна возможность сканирования кодовых репозиториев для быстрого аудита компонентов. Результат виден сразу.
Гибкая система политик
Выстраивая систему политик, вы можете оперировать не только параметром критичности уязвимости, но и частями CVSS-вектора или CWE, наличию публичного эксплойта, а также отслеживать пакеты по черным спискам (включая protestware), по возрасту, по автору или иным поведенческим параметрам, которые мы регулярно добавляем в систему.
Решение на каждом этапе
Обнаружить проблему можно на этапе сканирования директории с кодом, проверки собранного артефакта или образа. Для каждого этапа можно настроить отдельную политику, чтобы реагировать на риски максимально заранее. При срабатывании политики можно отправить уведомление в почту, поставить задачу в систему управления задачами или отправить уведомление в SOAR/ASOC систему. Есть возможность настроить рекуррентную проверку SBoM.
Определение и исправление уязвимостей
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, БДУ ФСТЭК, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Ключевые возможности CodeScoring.SCA
Инвентаризация ПО: построение SBoM и графа зависимостей, интеграция проверок в CI-конвейер с блокирующими политиками безопасности и лицензионной чистоты. Выполняем проверку на уровне исходных кодов, собранных артефактов и образов. Есть возможность настроить свою политику для каждого отдельного этапа сборки.
Работа с лицензионным ландшафтом
База лицензий CodeScoring содержит информацию о 2000+ открытых лицензий, которую мы регулярно пополняем. Решение сопровождается вендорской политикой лицензионной чистоты и вы можете настроить собственные политики по предупреждению или блокированию компонентов с лицензиями содержащими экспортные ограничения или слишком жесткие условия использования.
Идентификация компонентов и построение SBoM
Универсальный агент CodeScoring может быть запущен на локальной машине разработчика или в конвейере на нужной стадии сборки. Система обеспечивает анализ манифестов, разрешение транзитивных зависимостей и идентификацию Open Source включений в коде продукта. В результате строится реестр компонентных связей (SBoM) обогащенный информацией про уязвимости и лицензии.
Удобство проведения аудита
Система строит визуализацию выявленных связей между компонентами в виде удобного интерактивного графа, который поможет быстро идентифицировать место возникновения проблемы в компонентном стеке продукта. Также доступна возможность сканирования кодовых репозиториев для быстрого аудита компонентов. Результат виден сразу.
Гибкая система политик
Выстраивая систему политик вы можете оперировать не только параметром критичности уязвимости, но и частями CVSS-вектора или CWE, наличию публичного эксплойта, а также отслеживать пакеты по черным спискам (включая protestware), по возрасту, по автору или иным поведенческим параметрам которые мы регулярно добавляем в систему.
NVD CVE
OSV
OSSIndex
GHSA
Решение на каждом этапе
Обнаружить проблему можно на этапе сканирования директории с кодом, проверки собранного артефакта или образа. Для каждого этапа можно настроить отдельную политику, чтобы реагировать на риски максимально заранее. При срабатывании политики можно отправить уведомление в почту, поставить задачу в систему управления задачами или отправить уведомление в SOAR/ASOC систему. Есть возможность настроить рекуррентную проверку SBoM.
Определение и исправление уязвимостей
Мы оперируем множеством фидов, которые централизованно поставляем нашим заказчикам: NVD CVE, БДУ ФСТЭК, GHSA, OSSIndex и OSV (15 экосистемных фидов). Производим дедупликацию записей и поиск ошибок в открытых данных. Доступно подключение приватных фидов от экспертов рынка. Информация сопровождается данными о безопасных версиях пакетов, ссылками на патчи и публичные эксплойты.
Ключевые возможности CodeScoring.SCA
Инвентаризация ПО: построение SBoM и графа зависимостей, интеграция проверок в CI-конвейер с блокирующими политиками безопасности и лицензионной чистоты. Выполняем проверку на уровне исходных кодов, собранных артефактов и образов. Есть возможность настроить свою политику для каждого отдельного этапа сборки.
Работа с лицензионным ландшафтом
База лицензий CodeScoring содержит информацию о 2000+ открытых лицензий, которую мы регулярно пополняем. Решение сопровождается вендорской политикой лицензионной чистоты и вы можете настроить собственные политики по предупреждению или блокированию компонентов с лицензиями содержащими экспортные ограничения или слишком жесткие условия использования.
Идентификация компонентов и построение SBoM
Универсальный агент CodeScoring может быть запущен на локальной машине разработчика или в конвейере на нужной стадии сборки. Система обеспечивает анализ манифестов, разрешение транзитивных зависимостей и идентификацию Open Source включений в коде продукта. В результате строится реестр компонентных связей (SBoM) обогащенный информацией про уязвимости и лицензии.
Удобство проведения аудита
Система строит визуализацию выявленных связей между компонентами в виде удобного интерактивного графа, который поможет быстро идентифицировать место возникновения проблемы в компонентном стеке продукта. Также доступна возможность сканирования кодовых репозиториев для быстрого аудита компонентов. Результат виден сразу.
Гибкая система политик
Выстраивая систему политик вы можете оперировать не только параметром критичности уязвимости, но и частями CVSS-вектора или CWE, наличию публичного эксплойта, а также отслеживать пакеты по черным спискам (включая protestware), по возрасту, по автору или иным поведенческим параметрам которые мы регулярно добавляем в систему.
OSV
NVD CVE
GHSA
OSSIndex
Поддерживаемые системы
Интеграция в платформу CodeScoring
Проверка компонентов на каждом этапе жизненного цикла разработки ПО, для каждого этапа может быть настроена отдельная политика
Публичные реестры OpenSource
Сборка проектов CI конвейер +
Безопасный продукт
Контроль исходного кода
Прокси репозитории
Проверка компонентов в прокси-репозиториях: блокирование вредоносных и особо уязвимых пакетов
Регулярная проверка исходных кодов которые ещё не дошли до сборки и уведомление ответственных. Рекуррентное сканирование кода и SBoM.
Проверка в рамках конвейера разработки: от сканирования директории с кодом, проверки артефактов до сканирования образов
Удобный интерфейс
CodeScoring обеспечивает комфортную работу и понятный интерфейс для решения ваших задач
Работа с зависимостями
Мы реализовали удобный интерактивный граф связей, на котором вы сразу можете понять связи между компонентами и получить подробную информацию по проблемным зависимостям
Удобный интерфейс
CodeScoring обеспечивает комфортную работу и понятный интерфейс для решения ваших задач
Работа с зависимостями
Мы реализовали удобный интерактивный граф связей, на котором вы сразу можете понять связи между компонентами и получить подробную информацию по проблемным зависимостям
Получить демо
Здесь вы можете запросить демо, уточнить стоимость, получить образовательную лицензию или стать нашим партнером.