Code Scoring - это российское комплексное SCA-решение, предназначенное для композиционного анализа программных проектов с применением современных подходов анализа данных и машинного обучения.
В открытых и закрытых контурах разработки, для критических объектов и общего назначения активно применяются компоненты с открытым кодом (open source), которые заимствуются из сети Интернет. Доля таких компонентов в составе разрабатываемого программного обеспечения велика и в некоторых проектах составляет большую часть (до 60%-95%). С одной стороны, такой подход снижает стоимость разработки, ускоряет выпуск программ и облегчает дальнейшее сопровождение. С другой стороны, наличие open source компонентов несет ряд рисков для проектов – от угроз безопасности и реализации хакерских атак, до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений используемых компонентов.
CodeScoring выполняет композиционный анализ программных проектов и дает качественную оценку в привязке к авторскому составу. В коде идентифицируются открытые компоненты (Open Source), для которых строятся риск-отчеты по известным уязвимостям и лицензионным соглашениям. В профиле анализируемых проектов собираются качественные и количественные показатели, которые важны специалистам по безопасности и разработчикам, а также полезны юристам для работы с лицензионным ландшафтом. Система обеспечивает возможности встраивания в жизненный цикл разработки программного обеспечения через интеграцию с необходимыми смежными системами.
|
CodeScoring.SCA
Software Composition Analysis |
CodeScoring.TQI
Teams & Quality Intelligence |
|
|
Функциональные возможности:
Инвентаризация ПО 
- Ведение реестра компонентных связей проектов (SBoM)
- Автообнаружение зависимостей
- по файлам конфигураций (манифестам)
- разрешение транзитивных зависимостей
- включений OSS по мета-данным (хэшам): md5, sha1, sha2
Уязвимости
- Выявление уязвимостей: CVE, GHSA
- Рекомендации по исправлений
- Ведение базы уязвимостей
- Классификация: CVSS2, CVSS3
- Автоматическое обновление
Лицензии
- Определение лицензий
- Лицензионная совместимость компонентов (license compliance)
- Ведение реестра
- Автоматическое обновление
Как обычно применяется OSA/SCA CodeScoring?
- SCA.Firewall - блокирование нежелательных компонентов в прокси-репозиториях (хранилища артефактов).
- SCA.CI/CD & security gates - проверка и блокирование сборок в CI/CD pipelines (агент).
- SCA.Continuous monitoring - непрерывный мониторинг веток/тегов репозиториев (shift-left).
Полный перечень поддерживаемых технологий размещен по адресу: docs.codescoring.ru.
