Обновления CodeScoring за сентябрь-ноябрь 2023 07.12.2023 20:31
В середине осени мы добавили важный функционал для многих наших клиентов – возможность работы с контейнерными образами на инсталляции. Помимо этого, в течение последних трех месяцев было уделено много внимания модулю OSA и оптимизации продукта. Вот какие изменения произошли в CodeScoring:
-
Добавлена возможность сканирования образов из hosted и proxy Docker репозиториев на базе Sonatype Nexus Repository и JFrog Artifactory. Подробнее о работе с Docker-образами можно прочесть в документации.
-
Большое обновление получили плагины OSA для прокси-репозиториев: появилась возможность блокировки скачивания образов из Docker репозиториев при несоответствии политикам безопасности и настраивать режимы работы плагина.
-
Консольный агент Johnny теперь выводит сводную информацию о степени критичности уязвимостей, имеет возможность настройки формата таблицы с результатами сканирования, а также лучше разбирает манифесты .gradle.kts.
-
Уменьшен размер поставляемых Docker-образов CodeScoring.
-
Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов в OSA – теперь данные о загружаемом компоненте приходят быстрее.
-
Добавлен параметр Matched criteria в раздел Policy alerts. Параметр позволяет быстро узнать какое условие стало причиной срабатывания политики.
-
Добавлено новое условие политики – возраст уязвимости.
-
Добавлены метрики по количеству и времени запросов, а также статусу сканирования и блокировки компонента в CodeScoring OSA.
-
Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди.
-
Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API.
-
Добавлено скрытие пароля и токена в настройках подключения к Jira.
-
Добавлена возможность указания спецсимволов в пароле для подключения к базе данных.
-
Добавлено сохранение фильтров между вкладками в разделе Policy alerts
-
Возвращено моментальное удаление Policy Alert из списка Active после создания правила игнорирования политики.
-
Ускорена работа анализа при большом количестве Policy ignores.
-
Исправлены различные недочеты и ошибки в системе: дубликаты уязвимостей в SBOM с разными затронутыми версиями, отображение игнорируемых политик в разделе Policy Ignores, наличие полей Source files и Parents на странице зависимости, открытие страницы просмотра Policy Ignore и отображение ошибки git 128 при работе с VCS.