Code Scoring - это российское комплексное SCA-решение, предназначенное для композиционного анализа программных проектов с применением современных подходов анализа данных и машинного обучения.
В открытых и закрытых контурах разработки, для критических объектов и общего назначения активно применяются компоненты с открытым кодом (open source), которые заимствуются из сети Интернет. Доля таких компонентов в составе разрабатываемого программного обеспечения велика и в некоторых проектах составляет большую часть (до 60%-95%). С одной стороны, такой подход снижает стоимость разработки, ускоряет выпуск программ и облегчает дальнейшее сопровождение. С другой стороны, наличие open source компонентов несет ряд рисков для проектов – от угроз безопасности и реализации хакерских атак, до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений используемых компонентов.
CodeScoring — российское решение обеспечения процессов безопасной разработки ПО, созданное на основе собственных технологий и экспертизы. Обеспечивает анализ и поиск уязвимостей в Open Source компонентах, проверку открытых лицензий, оценку качества кода, а также поиск конфиденциальной информации в коде.
Экспертиза команды-разработчика отмечена ФСТЭК России и ИСП РАН. Ведется технологическое партнерство с Лабораторией Касперского в части идентификации вредоносного Open Source. Развивается системное сотрудничество с МГТУ им. Баумана. ВУЗы поддерживаются образовательными лицензиями и методиками. Команда — активный участник российского SDL-сообщества.
|
CodeScoring.OSA Защита цепочки поставки
|
CodeScoring.SCA Композиционный анализ
|
|
|
|
CodeScoring.TQI Анализ качества кода
|
CodeScoring.Secrets Поиск конфиденциальной информации
|
|
|
Ключевые особенности
-
собственная база знаний и аналитика
-
анализ 20 языков программирования
-
20+ интегрированных и дедуплицированных баз уязвимостей: пакеты разработки и системные пакеты
-
40+ критериев отслеживания и блокирования рисков на всех этапах разработки ПО
-
защита цепочки поставки от популярных атак, а также интеграция c Kaspersky Open Source Software Threats Data Feed
-
установка on-premise, режим отказоустойчивого кластера, горизонтальное
масштабирование «из коробки»
CodeScoring в жизненном цикле разработки
CodeScoring реализует практики безопасной разработки в части функциональности защиты цепочки поставки, композиционного анализа и поиска секретов в коде, также решает задачи анализа качества кода:
Инвентаризация кодовой базы — обнаружение и анализ зависимостей, построение перечня программных компонентов в формате CycloneDX, в том числе с учетом рекомендаций ФСТЭК России
-
Идентификация вредоносных и уязвимых компонентов — полный контекст найденных рисков
-
Определение лицензий — мониторинг Open Source лицензий и оценка совместимости
-
Анализ кода — поиск секретов и заимствований, расчет сложности
-
Управление политикой безопасности — гибкое управление оповещениями и блокировкой рисков
Разные этапы - разные политики безопасности
Возможность настроить умные политики безопасности для разных этапов разработки — залог здоровых отношений между ИТ и ИБ-службами. Политики обеспечивают предотвращение нежелательных событий, не мешая разработчикам и обеспечивая их понятной информацией для исправления возможных блокеров.
Полный перечень поддерживаемых технологий размещен по адресу: docs.codescoring.ru
Применяется в банках, финансовых организациях, нефтяных и энергетических компаниях, телеком и медиа, крупнейших ритейлах, а также в государственных учреждениях и системных интеграторах.
