Главная / Решения / CodeScoring

CodeScoring - композиционный анализ программных проектов

Code Scoring - это российское комплексное SCA-решение, предназначенное для композиционного анализа программных проектов с применением современных подходов анализа данных и машинного обучения.
 
В открытых и закрытых контурах разработки, для критических объектов и общего назначения активно применяются компоненты с открытым кодом (open source), которые заимствуются из сети Интернет. Доля таких компонентов в составе разрабатываемого программного обеспечения велика и в некоторых проектах составляет большую часть (до 60%-95%). С одной стороны, такой подход снижает стоимость разработки, ускоряет выпуск программ и облегчает дальнейшее сопровождение. С другой стороны, наличие open source компонентов несет ряд рисков для проектов – от угроз безопасности и реализации хакерских атак, до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений используемых компонентов.
 
CodeScoring выполняет композиционный анализ программных проектов и дает качественную оценку в привязке к авторскому составу. В коде идентифицируются открытые компоненты (Open Source), для которых строятся риск-отчеты по известным уязвимостям и лицензионным соглашениям. В профиле анализируемых проектов собираются  качественные и количественные показатели, которые важны специалистам по безопасности и разработчикам, а также полезны юристам для работы с лицензионным ландшафтом. Система обеспечивает возможности встраивания в жизненный цикл разработки программного обеспечения через интеграцию с необходимыми смежными системами.
 
CodeScoring.SCA
Software Composition Analysis
CodeScoring.TQI
Teams & Quality Intelligence
  • гибкий композиционный анализ
  • построение Software Bill of Materials (SBoM)
  • определение уязвимостей и лицензий в open source компонентах
  • оценка совместимости лицензий
  • политики отслеживания рисков
  • интеграция в CI/CD, Jira, почтовые уведомления
  • построение профилей участников разработки с подтвержденной компетенцией в проектах
  • определение ключевых параметров технического долга
  • функции для внутреннего рекрутинга
  • отчетность и политики отслеживания
  • интеграции в SDLC

Функциональные возможности:

Инвентаризация ПО Снимок экрана 2022-05-12 134853

  • Ведение реестра компонентных связей проектов (SBoM)
  • Автообнаружение зависимостей
- по файлам конфигураций (манифестам)
- разрешение транзитивных зависимостей 
- включений OSS по мета-данным (хэшам): md5, sha1, sha2

УязвимостиСнимок экрана 2022-05-12 135302

  • Выявление уязвимостей: CVE, GHSA
  • Рекомендации по исправлений 
  • Ведение базы уязвимостей 
  • Классификация: CVSS2, CVSS3 
  • Автоматическое обновление 

Лицензии

  • Определение лицензийСнимок экрана 2022-05-12 135813
  • Лицензионная совместимость компонентов (license compliance)
  • Ведение реестра
  • Автоматическое обновление
 

Как обычно применяется OSA/SCA CodeScoring?

  • SCA.Firewall - блокирование нежелательных компонентов в прокси-репозиториях (хранилища артефактов).

Снимок экрана 2022-06-17 195906

  • SCA.CI/CD & security gates - проверка и блокирование сборок в CI/CD pipelines (агент).

Снимок экрана 2022-06-17 195929

  • SCA.Continuous monitoring - непрерывный мониторинг веток/тегов репозиториев (shift-left).

Снимок экрана 2022-06-17 195942

Полный перечень поддерживаемых технологий размещен по адресу: docs.codescoring.ru.

 
Запросить Демо