В открытых репозиториях open source сегодня опубликовано свыше 300 миллионов библиотек, авторами которых могут быть и студенты, и высококвалифицированные разработчики, и даже ИИ. Такое разнообразие библиотек с открытым кодом, с одной стороны, и необходимость максимально быстрой разработки нового функционала, с другой стороны, приводит к тому, что практически все разрабатываемые приложения на сегодняшний день содержат компоненты с открытым исходным кодом. Их доля составляет по разным оценкам от 60 до 80 процентов кодовой базы.
Широкое использование open source позволяет быстрее получить возврат инвестиций в разработку, однако при отсутствии контроля может стать и угрозой для бизнеса.
Во-первых, компоненты с открытым исходным кодом несовершенны: нередко в них содержатся уязвимости, о которых быстро становится известно злоумышленникам, нередко в них присутствуют ошибки, которые приводят к нарушению работоспособности приложении. Во-вторых, разработчики не всегда обращают внимание на версию используемого компонента, что приводит к росту технического долга и повышению стоимости разработки. В-третьих, использование open source-компонентов регулируется лицензиями, их разрешения и ограничения влияют на условия лицензионного соглашения конечного разрабатываемого продукта. В мире существует порядка 2000 open source лицензий, и отслеживание разнообразных лицензий большого числа используемых компонентов с открытым кодом вручную становится сложной задачей. Для снижения всех этих рисков нужна прозрачность в цепочке поставок ПО, которую предоставляют решения композиционного анализа, SCA-решения. В разрабатываемых приложениях может содержаться до тысячи open source компонентов, поэтому SCA-системы стали необходимым элементом управления безопасностью, качеством и лицензионной чистотой разработки.
Web Control продвигает на рынок решения класса SCA с 2018 года, начав с малоизвестного в то время израильского стартапа WhiteSource (новое название — mend.io). В 2021 году на российском рынке появилось первое отечественное CSA-решение от компании Profiscope (Санкт-Петербург), дистрибьютором которого стал Web Control.
CodeScoring — российская платформа безопасной разработки ПО, созданная на основе собственных технологий и экспертизы. Обеспечивает анализ и поиск уязвимостей в Open Source компонентах, проверку открытых лицензий, оценку качества кода, а также поиск конфиденциальной информации в коде.
Применяется в банках, финансовых организациях, нефтяных и энергетических компаниях, телеком и медиа, крупнейших ритейлах, а также в государственных учреждениях и системных интеграторах.
Экспертиза CodeScoring подтверждена российскими регуляторами и участниками сообщества. Ведется технологическое партнерство с ИСП РАН и Лабораторией Касперского. Образовательные учреждения поддерживаются лицензиями и методиками. Команда — активный участник российского SDL-сообщества.