Обновления CodeScoring за июль-август 2023 08.09.2023 14:22Разгар лета ознаменовался жаркой работой над функционалом консольного агента и улучшением опыта взаимодействия с результатами анализа. Вот что нового появилось в CodeScoring за это время:
1. Добавлена история результатов сканирования проектов в модуле SCA. Подробнее и с картинками в отдельной статье.
2. На странице проекта информация из модулей SCA и TQI разведена в отдельные вкладки.
3. Консольный агент johnny теперь выводит уязвимости и алерты в виде удобных таблиц. Детали о новой функциональности доступны в блоге CodeScoring.
4. Добавлены метрики состояния очередей и количества запущенных анализов. Теперь можно настроить мониторинг производительности инсталляции в Prometheus.
5. Добавлено отображение частей CVSS векторов в списке уязвимостей.
6. Добавлено новое условие политики "Vulnerability has fixed version".
7. Добавлено поле CWE в экспорт CSV-таблицы уязвимостей.
8. Добавлен баннер CodeScoring и логирование версии в консоль при запуске Docker-контейнера с инсталляцией.
9. Добавлена индикация активного процесса анализа в консольном агенте. Во время обработки результатов отображается время выполнения запроса.
10. Добавлен парсинг манифеста conanfile.py для Conan.
11. Унифицирована обработка слэша в конце строки для команды scan dir в консольном агенте. При отсутствии названия проекта в SBOM всегда выводится имя той директории, в которой находится манифест.
12. Добавлена информация по fixed version в таблице Affected dependencies.
13. Версия инсталляции перенесена из футера в боковое меню.
14. Улучшения в плагине для JFrog Artifactory Pro: ускорена работа плагина, добавлен флаг blockDownloads в properties, который позволяет контролировать загрузку пакета при наличии ошибок CodeScoring API или плагина, добавлен префикс CodeScoring ко всем логам.
15. Удалены устаревшие эндпоинты API.
16. Проведена работа над исправлением недочетов в системе: убрана возможность нажать кнопку Upload SBOM без наличия прикрепленного файла, исправлено несоответствие Swagger-схемы с API, а также panic при анализе некоторых Go проектов.