Code Scoring - это российское решение класса SCA, предназначенное для автоматизированного аудита исходных кодов (как open source, так и проприетарного) с применением современных подходов анализа данных и машинного обучения.
Современные банки, ритейл, промышленные предприятия, IT-компании, государственные учреждения и другие организации для обеспечения своей деятельности используют ПО, созданное либо внутренними подразделениями, либо на заказ. При этом для бизнеса программный продукт на выходе представляет из себя «черный ящик» с точки зрения качества, рисков, ключевых компетенций разработчиков.
CodeScoring выполняет композиционный анализ программных проектов и оценку исполнения в привязке к авторскому составу. Код разбирается на открытый и проприетарный, отмечаются заимствования как открытого, так и собственного кода (утечка интеллектуальной собственности в другие проекты или дубликаты внутри одного проекта). Для открытого кода выдаются отчеты по известным уязвимостям и лицензионным соглашениям. В профиле проекта собираются количественные и качественные показатели, используемые юристами, ИБ, HR и разработчиками.
CodeScoring может использоваться на всем протяжении SDLC, начиная с анализа уязвимостей OS библиотек на этапе разработки и заканчивая контролем легитимности ПО и устранением уязвимостей OS, выявленных на этапе эксплуатации.
Основные возможности CodeScoring
Качество исполнения в привязке к авторам
- Выявление дубликатов с учетом переименований
- Оценка цикломатической сложности и близости рефакторинга
- Ведение статистики и зависимостей
- Отображение истории работы, ретроспективных оценок, применяемых технологий, качественных параметров
- Оценка качества исполнения в привязке к авторам
Компетенции авторского состава
- Автоматически обновляемый профиль компетенций всех авторов
- Определение наиболее близких по компетенции авторов
- Отслеживании публичной работы в OSS-сообществах
- Определение авторов, которые вносят наибольший вклад в проект
- Определение тех, кто наиболее активно наращивает технический долг
- Отслеживание ритмов работы в проектах
Лицензионная чистота
- Распознавание лицензионного состава и его совместимости в проекте
- Типизация и выявления новых лицензий
- Анализ повторного использования кода
- Извлечение текстов лицензий из исходных кодов и мета-данных
- Политики управления лицензионной чистотой
Безопасность
- Информирование об известных уязвимостях в open source
- Информирование о публикации проприетарного кода в open source
- Обнаружение включения open source путем копирования строк кода
- Политики управления open source по критичности уязвимостей
Отличительные возможности CodeScoring как SCA-решения
Преимущества решения
- Автоматизированное профилирование авторов
- Выявление заимствований между проектами
- Определение заимствований по авторам и направления копирования
- Вычисление цикломатической сложности (в том числе по коммитам и авторам)
- Высокая производительность
Русскоязычная поддержка осуществляется 24/7
