Главная / Направления / Развитие рынка безопасной разработки (DevSecOps)

Развитие рынка безопасной разработки (DevSecOps)

CodeScoring
Российское решение композиционного анализа программного обеспечения CodeScoring официально добавлено в реестр российского ПО
Узнать больше
CodeScoring 
CodeScoring SCA дополнено OSS Firewall, который обеспечивает блокировку уязвимых Open Source компонентов в прокси-репозиториях
Узнать больше
Доля компонентов с открытым исходным кодом составляет по разным оценкам от 60 до 80 процентов кодовой базы. Широкое использование open source позволяет быстрее разрабатывать новый функционал с одной стороны, однако уязвимости таких компонентов создают риски для пользователей конечных продуктов. Для снижения таких рисков нужна прозрачность в цепочке поставок ПО, которую предоставляют SCA-решения. 
 
Web Control продвигает на рынок решения класса SCA с 2018 года, начав с малоизвестного в то время израильского стартапа WhiteSource. В 2021 году на российском рынке появилось первое отечественное CSA-решение от компании Profiscope (Санкт-Петербург), дистрибьютором которого также является Web Control.
 
CodeScoring - отечественное решение для композиционного анализа программных проектов в разрезе использования open source, оценки лицензионной чистоты, авторства и заимствования кода, а также проверок на наличие известных уязвимостей, анализа качества и трудоёмкости. В отличие от конкурентов, CodeScoring не только информирует о проблеме, но и помогает определить кто, как и в каких частях проекта может внести исправление, а также спрогнозировать объем требуемых исправлений. В основе решения лежат AI/ML алгоритмы для обработки программных и естественных языков.
 
Продукт предназначен для разработчиков, юристов, команд безопасности и HR (в части подбора команд).
Функциональные возможности:
Инвентаризация ПО 
  • Ведение реестра компонентных связей проектов (SBoM)
  • Автообнаружение зависимостей
- по файлам конфигураций (манифестам)
- разрешение транзитивных зависимостей 
- включений OSS по мета-данным (хэшам): md5, sha1, sha2
 
Уязвимости
  • Выявление уязвимостей: CVE, GHSA
  • Рекомендации по исправлений 
  • Ведение базы уязвимостей 
  • Классификация: CVSS2, CVSS3 
  • Автоматическое обновление 
Лицензии
  • Определение лицензий
  • Лицензионная совместимость компонентов (license compliance)
  • Ведение реестра
  • Автоматическое обновление