codescor

 

Композиционный анализ ПО
Уязвимости в Open Source
Совместимость лицензий
Оценка качества
Работа команд

Запросить Демо

 

 

 

 

 

CodeScoring - композиционный анализ программных проектов

Code Scoring - это российское комплексное SCA-решение, предназначенное для композиционного анализа программных проектов с применением современных подходов анализа данных и машинного обучения.
 
CodeScoring выполняет композиционный анализ программных проектов и оценку их исполнения в привязке к авторскому составу. Код разбирается на открытый и проприетарный, отмечаются заимствования как открытого, так и собственного кода (например, для отслеживания дубликатов или утечек интеллектуальной собственности в другие проекты). Для открытого кода выдаются отчеты по известным уязвимостям и лицензионным соглашениям. В профиле проекта собираются количественные и качественные показатели, используемые разработчиками, безопасниками, юристами и HR.

Функциональные возможности:

CodeScoring.SCA Software Composition Analysis
  • гибкий композизионный анализ
  • построение Software Bill of Materials (SBoM)
  • определение уязвимостей и лицензий в open source компонентах
  • оценка совместимости лицензий
  • политики отслеживаниā рисков
  • интеграция в CI/CD, Jira, почтовые уведомления
CodeScoring.TQI Teams & Quality Intelligence
  • построение профилей участников разработки с подтвержденной компетенцией в проектах
  • определение ключевых параметров технического долга
  • функции для внутреннего рекрутинга
  • отчетность и политики отслеживания 
  • интеграции в SDLC

 

Инвентаризация ПО 

Ведение реестра компонентных связей проектов (SBoM)
Автообнаружение зависимостей
по файлам конфигураций (манифестам) Снимок экрана 2022-05-20 174530
включений OSS по мета-данным (хэшам): md5, sha1, sha2
 
Отчеты:
Списки проектов
Карта всех проектов
Компонентный состав всех проектов
Компонентная база проекта
Матрица связей проектов

 

УязвимостиСнимок экрана 2022-05-12 135302

Выявление уязвимостей: CVE, GHSA
Рекомендации по исправлению
Ведение базы уязвимостей
Классификация: CVSS2, CVSS3
Автоматическое обновление
 
Отчеты:
Новые уязвимости
Уязвимости по проектам 
Уязвимости по компании
Наиболее уязвимые проекты 
Распределение уязвимостей по уровню риска

 

Лицензии

Определение лицензийСнимок экрана 2022-05-12 135813
Лицензионная совместимость компонент (license compliance)
Ведение реестра лицензий
Автоматическое обновление
 
Отчеты:
Лицензионный состав проекта
Лицензионный состав всех проектов
Нарушения политик лицензирования
Лицензии по группам
База лицензий
 
 
 
 
 

Как обычно применяется OSA/SCA?

  • SCA Firewall - Блокирование нежелательных компонентов в прокси-репозиториях (хранилища артефактов)
  • CI/CD & security gates - Проверка и блокирование сборок в CI/CD pipelines (агент)
  • Continuous monitoring - Непрерывный мониторинг веток/тегов репозиториев (shift-left)
SCA.Firewall
Блокирование нежелательных компонентов в прокси-репозиториях (хранилища артефактов).

Снимок экрана 2022-05-20 174012

SCA.CI/CD
Проверка и блокирование сборок в CI/CD pipelines (агент).
Снимок экрана 2022-05-20 174710 SCA.Continuous monitoring
Непрерывный мониторинг веток/тегов репозиториев (shift-left).

   Снимок экрана 2022-05-20 174829

Полный перечень поддерживаемых технологий размещен по адресу: docs.codescoring.ru.

CodeScoring для создания реестра корпоративного ПО

Реестр корпоративного ПО позволяет избежать двойных затрат на разработку кода с одинаковым функционалом и отслеживать повторное использование программного компонента в других проектах. CodeScoring обнаруживает заимствования кода, как внутри одного проекта, так и между проектами, ведет историю, кто у кого копировал код, анализирует качество по ряду параметров, включая цикломатическую сложность, которая является объективным критерием сложности поддержки и оценки близости рефакторинга.

О Компании

Решение CodeScoring было создано в компании Профископ, оказывающей услуги в области аудита программного кода с 2012 года. Основатели компании имели большой опыт разработки ПО и знали о проблемах определения качества кода из собственного опыта. При проведении аудита специалисты компании столкнулись с отсутствием SCA-инструмента, функционал которого соответствовал бы их потребностям в полной мере, и было принято решение о создании собственного продукта. Вплоть до 2021 года CodeScoring использовался исключительно как внутренний инструмент, затем был представлен на рынке уже как оформившийся продукт с уникальным функционалом для использования сотрудниками самых разных подразделений.

Запросить Демо

Подробнее