CodeScoring

Российское решение CodeScoring выполняет композиционный анализ программных проектов и дает качественную оценку в привязке к авторскому составу. В коде идентифицируются открытые компоненты, для которых строятся риск-отчеты по известным уязвимостям и лицензионным соглашениям. В профиле анализируемых проектов собираются качественные и количественные показатели, которые важны специалистам по безопасности и разработчикам, а также полезны юристам для работы с лицензионным ландшафтом. Вендор собирает собственный индекс open source, а также ведет модерируемую базу уязвимостей для большей точности работы системы.

Система обеспечивает возможности встраивания на всех этапах жизненного цикла разработки программного обеспечения через интеграцию с необходимыми смежными системами:
- OSS Firewall: блокирование нежелательных компонентов в прокси-репозиториях;
- CI/CD-агент: проверка и блокирование сборок продуктов в CI-пайплайнах;
- Continuous monitoring: непрерывный риск-мониторинг веток и тегов в репозиториях.

Для каждого этапа жизненного цикла возможно настроить гибкие политики безопасной разработки: от блокирования нежелательных компонентов и уведомления ответственных специалистов до сигнализации в смежные системы.

На российском рынке полноценные аналоги не представлены, существуют только ограниченные интеграции известных open source CI-агентов в коммерческие решения. По отношению к зарубежным системам, решение CodeScoring показывает качественные результаты и соответствует ключевым требованиям к OSA/SCA-инструментам.

Ключевые отличия системы CodeScoring от российских решений:
- полностью собственная разработка;
- интеграция на всех этапах SSDLC;
- модерируемая вендором база известных уязвимостей;
- наличие функции OSS Firewall и непрерывного (ретроспективного) мониторинга;
- собственная база Open Source с мета-данными, повышающими гибкость работы политик.