Автоматизация

уведомление, блокировка,
рекомендация

Проверка

уязвимости/лицензии
согласно security gates

Инвентаризация

директивные и транзитивные
зависимости

CodeScoring в жизненном цикле разработки

CodeScoring реализует практики безопасной разработки в части функциональности защиты цепочки поставки, композиционного анализа и поиска секретов в коде, также решает задачи анализа качества кода:

● Управление политикой безопасности — гибкое управление оповещениями и блокировкой рисков

● Анализ кода — поиск секретов и заимствований, расчет сложности

● Определение лицензий — мониторинг Open Source лицензий и оценка совместимостиых рисков

● Идентификация вредоносных и уязвимых компонентов — полный контекст найденных рисков

● Инвентаризация кодовой базы — обнаружение и анализ зависимостей, построение перечня
программных компонентов в формате CycloneDX, в том числе с учетом рекомендаций ФСТЭК России

Ключевые особенности

● собственная база знаний и аналитика
● анализ 20 языков программирования
● 20+ интегрированных и дедуплицированных баз уязвимостей: пакеты разработки и системные пакеты
● 40+ критериев отслеживания и блокирования рисков
на всех этапах разработки ПО
● защита цепочки поставки от популярных атак, а также
интеграция c Kaspersky Open Source Software Threats Data Feed
● установка on-premise, режим отказоустойчивого кластера,
горизонтальное масштабирование «из коробки»

CodeScoring.Secrets

Поиск конфиденциальной информации

● оценка истинности срабатывания с применением ML

● разметка True positive / False positive

● управление конфигурациями сканирований

● идентификация секретов

CodeScoring.TQI

Анализ качества кода

● определение ключевых
параметров техдолга:
дубликаты (copy-paste),
цикломатическая сложность

● все метрики трассируются
до исходных кодов

● построение профилей
участников разработки
с подтвержденной
компетенцией в проектах

● поиск утечек проприетарного
кода

● отчетность и интеграция

● функции для внутреннего
рекрутинга

CodeScoring.SCA

Композиционный анализ

● проверка Open Source на всех
этапах цикла разработки

● универсальный агент проверки с оркестрацией в конвейере

● анализ пакетов разработки,
системных пакетов, образов,
артефактов сборки и архивов

● предоставление информации
о найденных уязвимостях
и лицензиях, рекомендации

● отслеживание нового кода в
репозиториях и старых сборках

● граф связей компонентов

● настройка политик
безопасности по 40+критериям

CodeScoring.OSA

Защита цепочки поставки

● анализ пакетов разработки, системных пакетов, образов,
артефактов сборки и архивов

● защита от вредоносных
и уязвимых компонентов

● политики предотвращения
популярных атак на цепочку
поставки

● рекомендации по исправлению выявленных проблем

● система управления
выявленными уязвимостями

● интеграция с Nexus Repository Manager и Jfrog Artifacto

Экспертиза команды-разработчика отмечена ФСТЭК России и ИСП РАН. Ведется технологическое партнерство с Лабораторией Касперского в части идентификации вредоносного Open Source. Развивается системное сотрудничество с МГТУ им. Баумана.
Команда — активный участник российского SDL-сообщества.

Применяется в банках, финансовых организациях, нефтяных и энергетических компаниях, телеком и медиа, крупнейших ритейлах, а также в государственных учреждениях и системных интеграторах.