erid: 2SDnjcLaQRX erid: 2SDnjcLaQRX

E-mail: shifon@web-control.ru

https://codescoring.ru/

Реестр отечественного ПО: Да

О продукте

В открытых и закрытых контурах разработки, для бизнес-значимых и критических объектов активно применяются компоненты с открытым кодом (open source), которые получаются из открытых источников и подлежат риск-оценке. Доля open source компонентов в составе разрабатываемого программного обеспечения велика и, по сложившейся практике, составляет большую часть (до 95%). С одной стороны, такой подход снижает стоимость разработки, ускоряет выпуск программ и облегчает дальнейшее сопровождение. С другой стороны, наличие open source компонентов несет ряд рисков для проектов – от угроз безопасности и реализации хакерских атак, до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений заимствованных компонентов.

Поддерживаемые ОС и БД
deb/rpm-основанные GNU/Linux дистрибутивы, включая популярные отечественные (Astra Linux, ALT Linux). CodeScoring распространяется через docker-образы.
Наличие сертификатов
Отсутствуют
Тип сертификации
Не требуется
Лицензии и стоимость
Лицензии: По количеству разработчиков
Стоимость: по запросу
Дополнительная информация

Российское решение CodeScoring выполняет композиционный анализ программных проектов и дает качественную оценку в привязке к авторскому составу. В коде идентифицируются открытые компоненты, для которых строятся риск-отчеты по известным уязвимостям и лицензионным соглашениям. В профиле анализируемых проектов собираются качественные и количественные показатели, которые важны специалистам по безопасности и разработчикам, а также полезны юристам для работы с лицензионным ландшафтом. Вендор собирает собственный индекс open source, а также ведет модерируемую базу уязвимостей для большей точности работы системы.

Система обеспечивает возможности встраивания на всех этапах жизненного цикла разработки программного обеспечения через интеграцию с необходимыми смежными системами:
- OSS Firewall: блокирование нежелательных компонентов в прокси-репозиториях;
- CI/CD-агент: проверка и блокирование сборок продуктов в CI-пайплайнах;
- Continuous monitoring: непрерывный риск-мониторинг веток и тегов в репозиториях.

Для каждого этапа жизненного цикла возможно настроить гибкие политики безопасной разработки: от блокирования нежелательных компонентов и уведомления ответственных специалистов до сигнализации в смежные системы.

На российском рынке полноценные аналоги не представлены, существуют только ограниченные интеграции известных open source CI-агентов в коммерческие решения. По отношению к зарубежным системам, решение CodeScoring показывает качественные результаты и соответствует ключевым требованиям к OSA/SCA-инструментам.

Ключевые отличия системы CodeScoring от российских решений:
- полностью собственная разработка;
- интеграция на всех этапах SSDLC;
- модерируемая вендором база известных уязвимостей;
- наличие функции OSS Firewall и непрерывного (ретроспективного) мониторинга;
- собственная база Open Source с мета-данными, повышающими гибкость работы политик.