Обновление CodeScoring 2026.3.0 20.01.2026 10:42В первом релизе 2026 года мы сосредоточились на ключевых улучшениях для разбора уязвимостей, новых возможностях анализа достижимости и повышении удобства работы с перечнем программных компонентов.
Новая страница уязвимости
Визуальный интерфейс страницы стал удобнее и нагляднее. Теперь на ней можно просматривать детальные данные из каждого источника, в котором уязвимость была обнаружена, сохраняя единый идентификатор и контекст.
Помимо этого, на странице появилось разделение затронутых компонентов на зависимости из SCA-проектов и пакеты, проверенные модулем CodeScoring.OSA. Это упрощает оценку рисков, а также помогает тонко настроить процессы, связанные с разбором уязвимостей.
Развитие анализа достижимости
В интерфейсе появилась страница с визуализацией пути до уязвимого метода. Она позволяет отследить цепочку вызовов, перейдя в новый раздел прямо из списка уязвимостей.
Также к списку поддерживаемых языков данного функционала добавился Kotlin.
SBOM и работа с зависимостями
В этом релизе мы провели масштабную работу над улучшением работы с перечнем программных компонентов:
Новая страница уязвимости
Визуальный интерфейс страницы стал удобнее и нагляднее. Теперь на ней можно просматривать детальные данные из каждого источника, в котором уязвимость была обнаружена, сохраняя единый идентификатор и контекст.
Помимо этого, на странице появилось разделение затронутых компонентов на зависимости из SCA-проектов и пакеты, проверенные модулем CodeScoring.OSA. Это упрощает оценку рисков, а также помогает тонко настроить процессы, связанные с разбором уязвимостей.
Развитие анализа достижимости
В интерфейсе появилась страница с визуализацией пути до уязвимого метода. Она позволяет отследить цепочку вызовов, перейдя в новый раздел прямо из списка уязвимостей.
Также к списку поддерживаемых языков данного функционала добавился Kotlin.
SBOM и работа с зависимостями
В этом релизе мы провели масштабную работу над улучшением работы с перечнем программных компонентов:
-
добавлена поддержка CycloneDX 1.7;
-
добавлено поле GOST:provided_by для соответствия требованиям ФСТЭК России к перечню программных компонентов;
-
оптимизирована скорость анализа зависимостей;
-
реализована возможность указывать ветку или тег при импорте SBOM;
-
реализовано получение списка доступных форматов SBOM через API;
-
внедрена дополнительная проверка формата и версии загружаемого SBOM.
Все эти пункты позволяют командам корректно управлять составом компонентов в соответствии с отечественными стандартами безопасной разработки.
Использование списков при создании политик
Теперь при формировании правила внутри политики можно задать не единственное значение, а список нужных сущностей. Например, набор идентификаторов уязвимостей или компонентов.
Таким образом, политики становятся более гибкими и выразительными, а настройка правил – быстрее и удобнее для сложных сценариев контроля.
CodeScoring.TQI: аналитика и новые графики
Модуль CodeScoring.TQI получил новые графики и метрики, которые помогают оценивать активность авторов и динамику проектов. Теперь с помощью него можно посчитать плотность и скорость изменения кода в проекте, а также увидеть общее влияние изменений на сводном графике.
Время подсчета метрик в проектах существенно сократилось за счет перехода на новый механизм разбора коммитов.
Также добавлена фильтрация по типу коммитов в списке коммитов, а визуализация проектов стала более информативной. Команды теперь могут быстрее выявлять зоны риска и изучать динамику работы над проектами в ретроспективе.
Другие улучшения
-
В консольном агенте Johnny добавлена поддержка пакетного менеджера bun, а также добавлены списки проигнорированных политик, локализация отчетов и параметры категории и группы проекта;
-
Для находок в модуле Secrets добавлены поля “Энтропия” и “Координаты”.
Полный список изменений доступен на странице Changelog в документации.