Доля компонентов с открытым исходным кодом составляет по разным оценкам от 60 до 80 процентов кодовой базы. Широкое использование open source позволяет быстрее разрабатывать новый функционал с одной стороны, однако уязвимости таких компонентов создают риски для пользователей конечных продуктов. Для снижения таких рисков нужна прозрачность в цепочке поставок ПО, которую предоставляют SCA-решения.
Web Control продвигает на рынок решения класса SCA с 2018 года, начав с малоизвестного в то время израильского стартапа WhiteSource. В 2021 году на российском рынке появилось первое отечественное CSA-решение от компании Profiscope (Санкт-Петербург), дистрибьютором которого также является Web Control.
CodeScoring - отечественное решение для композиционного анализа программных проектов в разрезе использования open source, оценки лицензионной чистоты, авторства и заимствования кода, а также проверок на наличие известных уязвимостей, анализа качества и трудоёмкости. В отличие от конкурентов, CodeScoring не только информирует о проблеме, но и помогает определить кто, как и в каких частях проекта может внести исправление, а также спрогнозировать объем требуемых исправлений. В основе решения лежат AI/ML алгоритмы для обработки программных и естественных языков.
Продукт предназначен для разработчиков, юристов, команд безопасности и HR (в части подбора команд).
Функциональные возможности:
Инвентаризация ПО
-
Ведение реестра компонентных связей проектов (SBoM)
-
Автообнаружение зависимостей
- по файлам конфигураций (манифестам)
- разрешение транзитивных зависимостей
- включений OSS по мета-данным (хэшам): md5, sha1, sha2
Уязвимости
-
Выявление уязвимостей: CVE, GHSA
-
Рекомендации по исправлений
-
Ведение базы уязвимостей
-
Классификация: CVSS2, CVSS3
-
Автоматическое обновление
Лицензии
-
Определение лицензий
-
Лицензионная совместимость компонентов (license compliance)
-
Ведение реестра
-
Автоматическое обновление