Code Scoring - это российское комплексное SCA-решение, предназначенное для композиционного анализа программных проектов с применением современных подходов анализа данных и машинного обучения.
CodeScoring выполняет композиционный анализ программных проектов и оценку их исполнения в привязке к авторскому составу. Код разбирается на открытый и проприетарный, отмечаются заимствования как открытого, так и собственного кода (например, для отслеживания дубликатов или утечек интеллектуальной собственности в другие проекты). Для открытого кода выдаются отчеты по известным уязвимостям и лицензионным соглашениям. В профиле проекта собираются количественные и качественные показатели, используемые разработчиками, безопасниками, юристами и HR.
Функциональные возможности:
|
CodeScoring.SCA Software Composition Analysis
|
CodeScoring.TQI Teams & Quality Intelligence
|
Инвентаризация ПО
Ведение реестра компонентных связей проектов (SBoM)
Автообнаружение зависимостей
по файлам конфигураций (манифестам) 
включений OSS по мета-данным (хэшам): md5, sha1, sha2
Отчеты:
Списки проектов
Карта всех проектов
Компонентный состав всех проектов
Компонентная база проекта
Матрица связей проектов
Уязвимости
Выявление уязвимостей: CVE, GHSA
Рекомендации по исправлению
Ведение базы уязвимостей
Классификация: CVSS2, CVSS3
Автоматическое обновление
Отчеты:
Новые уязвимости
Уязвимости по проектам
Уязвимости по компании
Наиболее уязвимые проекты
Распределение уязвимостей по уровню риска
Лицензии
Определение лицензий
Лицензионная совместимость компонент (license compliance)
Ведение реестра лицензий
Автоматическое обновление
Отчеты:
Лицензионный состав проекта
Лицензионный состав всех проектов
Нарушения политик лицензирования
Лицензии по группам
База лицензий
Как обычно применяется OSA/SCA?
- SCA Firewall - Блокирование нежелательных компонентов в прокси-репозиториях (хранилища артефактов)
- CI/CD & security gates - Проверка и блокирование сборок в CI/CD pipelines (агент)
- Continuous monitoring - Непрерывный мониторинг веток/тегов репозиториев (shift-left)
SCA.Firewall
Блокирование нежелательных компонентов в прокси-репозиториях (хранилища артефактов).
SCA.CI/CD
Проверка и блокирование сборок в CI/CD pipelines (агент).
Проверка и блокирование сборок в CI/CD pipelines (агент).
SCA.Continuous monitoringНепрерывный мониторинг веток/тегов репозиториев (shift-left).
CodeScoring для создания реестра корпоративного ПО
Реестр корпоративного ПО позволяет избежать двойных затрат на разработку кода с одинаковым функционалом и отслеживать повторное использование программного компонента в других проектах. CodeScoring обнаруживает заимствования кода, как внутри одного проекта, так и между проектами, ведет историю, кто у кого копировал код, анализирует качество по ряду параметров, включая цикломатическую сложность, которая является объективным критерием сложности поддержки и оценки близости рефакторинга.
