В открытых и закрытых контурах разработки, для бизнес-значимых и критических объектов активно применяются компоненты с открытым кодом (open source), которые получаются из открытых источников и подлежат риск-оценке. Доля open source компонентов в составе разрабатываемого программного обеспечения велика и, по сложившейся практике, составляет большую часть (до 95%). С одной стороны, такой подход снижает стоимость разработки, ускоряет выпуск программ и облегчает дальнейшее сопровождение. С другой стороны, наличие open source компонентов несет ряд рисков для проектов – от угроз безопасности и реализации хакерских атак, до невозможности дальнейшего развития проектов в силу нарушения лицензионных соглашений заимствованных компонентов.
Российское решение CodeScoring выполняет композиционный анализ программных проектов и дает качественную оценку в привязке к авторскому составу. В коде идентифицируются открытые компоненты, для которых строятся риск-отчеты по известным уязвимостям и лицензионным соглашениям. В профиле анализируемых проектов собираются качественные и количественные показатели, которые важны специалистам по безопасности и разработчикам, а также полезны юристам для работы с лицензионным ландшафтом. Вендор собирает собственный индекс open source, а также ведет модерируемую базу уязвимостей для большей точности работы системы.
Система обеспечивает возможности встраивания на всех этапах жизненного цикла разработки программного обеспечения через интеграцию с необходимыми смежными системами:
- OSS Firewall: блокирование нежелательных компонентов в прокси-репозиториях;
- CI/CD-агент: проверка и блокирование сборок продуктов в CI-пайплайнах;
- Continuous monitoring: непрерывный риск-мониторинг веток и тегов в репозиториях.
Для каждого этапа жизненного цикла возможно настроить гибкие политики безопасной разработки: от блокирования нежелательных компонентов и уведомления ответственных специалистов до сигнализации в смежные системы.
На российском рынке полноценные аналоги не представлены, существуют только ограниченные интеграции известных open source CI-агентов в коммерческие решения. По отношению к зарубежным системам, решение CodeScoring показывает качественные результаты и соответствует ключевым требованиям к OSA/SCA-инструментам.
Ключевые отличия системы CodeScoring от российских решений:
- полностью собственная разработка;
- интеграция на всех этапах SSDLC;
- модерируемая вендором база известных уязвимостей;
- наличие функции OSS Firewall и непрерывного (ретроспективного) мониторинга;
- собственная база Open Source с мета-данными, повышающими гибкость работы политик.