+7 (495) 925-7794
 

Обновление CodeScoring 2026.20.0

« Назад

Обновление CodeScoring 2026.20.0  28.05.2026 11:02

В версии 2026.20.0 основной акцент сделан на разборе находок, приоритизации и организации результатов по проектам и образам.

Отдельное внимание уделили работе с составом компонентов: в платформе появились инструменты для работы с внутренними пакетами, новые данные для оценки уязвимостей и дополнительные возможности при импорте и выгрузке SBOM.

Триаж уязвимостей по стандарту VEX

В CodeScoring.SCA появился механизм триажа уязвимостей по стандарту VEX. Теперь для найденных уязвимостей можно назначать статус, указывать обоснование и фиксировать принятые решения.

Разбор уязвимостей стал ближе к рабочему процессу команды: по каждой находке можно не только увидеть технические данные, но и сохранить результат анализа, например подтверждение проблемы или решение о том, что уязвимость не затрагивает проект.

Также обновлены данные и возможности работы с уязвимостями:
 
  • добавлены условия политик для отозванных зависимостей и ПО-вымогателей;
  • в экспериментальном режиме добавлена поддержка графа вызовов Joern для языка JavaScript для анализа достижимости уязвимых функций;
  • добавлен источник CISA KEV Catalog;
  • добавлены столбцы и фильтры по EPSS и SSVC;
  • обновлена логика отображения статуса отзыва.


CodeScoring.Secrets и TruffleHog

В CodeScoring.Secrets добавлена поддержка сканирования движком TruffleHog. Разные движки находят разные секреты, а CodeScoring дедуплицирует находки, чтобы команда работала с единым результатом без ручного сопоставления повторов.

Johnny также получил поддержку TruffleHog. Помимо этого в агенте расширены сценарии сканирования секретов: добавлены git-режим, флаг --commit для сканирования директорий и флаги для передачи конфигураций Gitleaks и TruffleHog.

Слои контейнерных образов

В CodeScoring.OSA появилась отдельная страница списка слоев образов. Также таблицы слоев добавлены на страницу отсканированного образа в проекте и на страницу контейнерного образа.

Для работы со слоями в Johnny добавлены команды создания слоев контейнерных образов.

Внутренние пакеты и SBOM

Для работы с внутренними пакетами (inner source) добавлены настройки на странице зависимостей проекта и фильтрация при выгрузке SBOM. Речь о пакетах, которые компания разрабатывает внутри и не публикует в open source.

При импорте SBOM Johnny теперь обрабатывает свойства GOST:provided_by, inner_source и source-distribution.

Управление ветками проектов

Отдельно продолжается работа над более гибкой моделью версий в SCA-проектах. В этом релизе стали видны отдельные элементы этой модели: теперь ветками можно управлять в настройках проекта.

Полный список изменений доступен на странице Changelog в документации.

Источник ►