🍁Две недели назад прошёл осенний вебинар от CodeScoring: достижения, достижимость, плагины для IDE, который привлёк большое внимание заказчиков, партнёров и коллег.
Для тех, кто пропустил сам вебинар, мы выложили в открытый доступ запись вебинара:
📺 VK Video
📺 YouTube
А так же, мы хотим поделиться презентацией вебинара, которую можно скачать по ссылке:
🔗Презентация
Хотите демо? Заполните форму и с вами свяжутся, для согласования времени и даты.
Оставайтесь с нами, следите за новостями! (мы уже готовим сюрприз под ёлочку🎄)
Для тех, кто пропустил сам вебинар, мы выложили в открытый доступ запись вебинара:
А так же, мы хотим поделиться презентацией вебинара, которую можно скачать по ссылке:
🔗Презентация
Хотите демо? Заполните форму и с вами свяжутся, для согласования времени и даты.
Оставайтесь с нами, следите за новостями! (мы уже готовим сюрприз под ёлочку🎄)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10🎉8❤7👍6❤🔥2
Media is too big
VIEW IN TELEGRAM
🚀 Обновление CodeScoring 2025.45.0: оценка новизны кода, поддержка Python и Go в анализе достижимости, группировка SCA-проектов, разбор манифестов UV и улучшенный граф зависимостей
В этом релизе мы сосредоточились на развитии аналитики в модуле CodeScoring.TQI, расширении списка поддерживаемых языков в анализе достижимости уязвимостей и улучшении инструментов по работе с результатами композиционного анализа.
Поддержка новых языков в анализе достижимости
В анализ достижимости добавлены языки Python и Go. Благодаря этому команды могут оценивать реальную эксплуатируемость уязвимостей и концентрироваться на тех, что действительно влияют на безопасность, снижая объём ручной проверки.
CodeScoring.TQI: новизна кода и улучшенная аналитика
В модуле CodeScoring.TQI появился расчёт новизны кода (code churn) – метрика, которая помогает отслеживать темп изменений в кодовой базе и выявлять потенциально нестабильные участки.
Также добавлены:
- метрики по коммитам и изменениям строк от авторов, которые теперь также визуализируются в профилях;
- новые фильтры и поля в списке проектов автора, включая фильтрацию по технологии.
Эти обновления предоставляют командам новые инструменты анализа и оценки качества и динамики разработки.
Новая группировка SCA-проектов
В интерфейсе платформы добавился новый раздел “Группы проектов” для модуля CodeScoring.SCA. В нём агрегируется информация по композиционному анализу всех проектов внутри группы – от расчета уникальных уязвимостей до единого списка алертов.
Таким образом, стало проще управлять наборами репозиториев и отслеживать метрики безопасности на широком масштабе.
Улучшенный граф зависимостей
Реализация графа зависимостей была полностью переработана технически и существенно обновлена визуально. Теперь можно отфильтровать отображаемые связи между компонентами, отдельно работать с путями до корня проекта или дочерних связей, выбрать показ только уязвимых зависимостей или разделить граф на несколько частей по используемым технологиям. Помимо этого улучшена интерактивность графа и работа с масштабированием.
Johnny: поддержка нового пакетного менеджера UV
Агент Johnny теперь обрабатывает зависимости из пакетного менеджера UV. В рамках данной экосистемы можно анализировать манифесты типов pyproject.toml и uv.lock.
Также в Johnny:
- Добавлено поле Matched Criteria в отчеты алертов
- Добавлено разрешение зависимостей через механизм pipdeptree
- Добавлена поддержка механизма npm/pnpm workspaces
Прочие улучшения
- Реализован разбор компонентов экосистемы РЕД ОС;
- Добавлена возможность копировать политики;
- Фильтры TQI и SCA-проектов оптимизированы для быстрого поиска;
- Переработано боковое меню – теперь его можно сворачивать, а структура стала компактнее и логичнее;
- Улучшена производительность выгрузки PDF-отчетов и дополнено их содержание.
Полный список изменений можно посмотреть на странице Changelog в документации.
В этом релизе мы сосредоточились на развитии аналитики в модуле CodeScoring.TQI, расширении списка поддерживаемых языков в анализе достижимости уязвимостей и улучшении инструментов по работе с результатами композиционного анализа.
Поддержка новых языков в анализе достижимости
В анализ достижимости добавлены языки Python и Go. Благодаря этому команды могут оценивать реальную эксплуатируемость уязвимостей и концентрироваться на тех, что действительно влияют на безопасность, снижая объём ручной проверки.
CodeScoring.TQI: новизна кода и улучшенная аналитика
В модуле CodeScoring.TQI появился расчёт новизны кода (code churn) – метрика, которая помогает отслеживать темп изменений в кодовой базе и выявлять потенциально нестабильные участки.
Также добавлены:
- метрики по коммитам и изменениям строк от авторов, которые теперь также визуализируются в профилях;
- новые фильтры и поля в списке проектов автора, включая фильтрацию по технологии.
Эти обновления предоставляют командам новые инструменты анализа и оценки качества и динамики разработки.
Новая группировка SCA-проектов
В интерфейсе платформы добавился новый раздел “Группы проектов” для модуля CodeScoring.SCA. В нём агрегируется информация по композиционному анализу всех проектов внутри группы – от расчета уникальных уязвимостей до единого списка алертов.
Таким образом, стало проще управлять наборами репозиториев и отслеживать метрики безопасности на широком масштабе.
Улучшенный граф зависимостей
Реализация графа зависимостей была полностью переработана технически и существенно обновлена визуально. Теперь можно отфильтровать отображаемые связи между компонентами, отдельно работать с путями до корня проекта или дочерних связей, выбрать показ только уязвимых зависимостей или разделить граф на несколько частей по используемым технологиям. Помимо этого улучшена интерактивность графа и работа с масштабированием.
Johnny: поддержка нового пакетного менеджера UV
Агент Johnny теперь обрабатывает зависимости из пакетного менеджера UV. В рамках данной экосистемы можно анализировать манифесты типов pyproject.toml и uv.lock.
Также в Johnny:
- Добавлено поле Matched Criteria в отчеты алертов
- Добавлено разрешение зависимостей через механизм pipdeptree
- Добавлена поддержка механизма npm/pnpm workspaces
Прочие улучшения
- Реализован разбор компонентов экосистемы РЕД ОС;
- Добавлена возможность копировать политики;
- Фильтры TQI и SCA-проектов оптимизированы для быстрого поиска;
- Переработано боковое меню – теперь его можно сворачивать, а структура стала компактнее и логичнее;
- Улучшена производительность выгрузки PDF-отчетов и дополнено их содержание.
Полный список изменений можно посмотреть на странице Changelog в документации.
🔥21❤10🎉7❤🔥4👍2👏2
CodeScoring вновь на открытой конференции ИСП РАН!
🎉В этом году команда CodeScoring уже в третий раз участвует в качестве партнера открытой конференции Института системного программирования им. В.П. Иванникова.
Каждый год конференция растет и представляет насыщенную и интересную программу, где каждый может найти полезную информацию в своей деятельности: от технических аспектов последних научных разработок, до применения технологий в реальных задачах.
👀 От CodeScoring мы приготовили два выступления:
1. 09.12 в 15:20 В блоке технологических партнеров ИСП РАН мы расскажем о нашем успешном опыте применения технологий Института на практике и как не бояться научных организаций.
2. 10.12 в 17:30 В рамках дня безопасной разработки АРПП представим доклад "Большие обманы Open Source: обзор популярных атак на цепочку поставки", приходите послушать, чем запомнился уходящий год. Полная программа уже доступна.
На нашем стенде 9 и 10 декабря вы сможете лично познакомиться с руководителями продуктов и службой заботы, узнать о ближайших планах развития нашей платформы и пообщаться о перспективных сотрудничествах от технологий до коммерции.
🗓 9-10 декабря 2025
📍 Кластер «Ломоносов», Москва
✅ Регистрация до 6 декабря включительно
🎉В этом году команда CodeScoring уже в третий раз участвует в качестве партнера открытой конференции Института системного программирования им. В.П. Иванникова.
Каждый год конференция растет и представляет насыщенную и интересную программу, где каждый может найти полезную информацию в своей деятельности: от технических аспектов последних научных разработок, до применения технологий в реальных задачах.
👀 От CodeScoring мы приготовили два выступления:
1. 09.12 в 15:20 В блоке технологических партнеров ИСП РАН мы расскажем о нашем успешном опыте применения технологий Института на практике и как не бояться научных организаций.
2. 10.12 в 17:30 В рамках дня безопасной разработки АРПП представим доклад "Большие обманы Open Source: обзор популярных атак на цепочку поставки", приходите послушать, чем запомнился уходящий год. Полная программа уже доступна.
На нашем стенде 9 и 10 декабря вы сможете лично познакомиться с руководителями продуктов и службой заботы, узнать о ближайших планах развития нашей платформы и пообщаться о перспективных сотрудничествах от технологий до коммерции.
🗓 9-10 декабря 2025
📍 Кластер «Ломоносов», Москва
✅ Регистрация до 6 декабря включительно
🔥14❤🔥7🎉5👍4❤2🤩2
В модуле CodeScoring.OSA появился новый сервис – OSA Proxy. Он выступает посредником между пакетными менеджерами и их удалёнными репозиториями, автоматически проверяя пакеты и блокируя небезопасные версии в соответствии с политиками безопасности. Это позволяет внедрять модуль CodeScoring.OSA без привязки к хранилищам артефактов и гарантирует соблюдение требований безопасности при работе с внешними пакетными индексами.
OSA Proxy помогает централизованно контролировать загрузку компонентов с помощью политик безопасности, снижает риск попадания уязвимых версий в проекты и упрощает интеграцию с существующими процессами разработки. На данный момент сервис поддерживает Maven Central, NPM, PyPI, NuGet, Go Modules, Debian, а также альтернативные репозитории, совместимые с официальными спецификациями.
OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры. Команды получают возможность подключать сервис без необходимости изменять привычные рабочие процессы.
Каждый манифест и пакет проходят проверку на соответствие политикам безопасности. Уязвимые версии исключаются из манифестов, а загрузка небезопасных архивов блокируется ещё до попадания в проект. Это позволяет специалистам сосредоточиться на исправлении реальных угроз, не отвлекаясь на ручной контроль.
OSA Proxy модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов. Благодаря этому внешние инструменты и пакетные менеджеры продолжают работать корректно, а проекты защищены от случайного использования уязвимых компонентов.
Сервис поддерживает несколько режимов работы: от «наблюдателя» до строгой блокировки. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.
Асинхронная модель обработки и механизм автоматических повторов при временных ошибках обеспечивают стабильность даже при высоких нагрузках. Сервис спроектирован легко масштабируемым и рассчитан на высокую нагрузку, в соответствии с требованиями современной инфраструктуры.
OSA Proxy доступен всем пользователям модуля CodeScoring.OSA.
Подробнее о настройке и возможностях – в нашей открытой документации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27❤🔥13🎉13👍4👏2
This media is not supported in your browser
VIEW IN TELEGRAM
2025 стал для нас годом инноваций и укрепления позиций!
За это время мы:
- внедрили значительные улучшения в продукт
- расширили сеть сотрудничества
- активно участвовали в ключевых событиях отрасли
CodeScoring эволюционирует, чтобы точнее соответствовать актуальным задачам безопасной разработки и оставаться надежным партнёром для более чем 40 тысяч разработчиков в России.
Оглядываясь на прошедшие месяцы, мы рады поделиться основными успехами нашей команды и заглянуть в будущее.
🔗 Читайте полные итоги на нашем сайте.
Пусть 2026 принесёт гармонию в процессах, уверенность в коде и вдохновение для новых идей. С наступающим! 🎄
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥25🔥20❤15🎉12👍2👏2
Media is too big
VIEW IN TELEGRAM
В первом релизе 2026 года мы сосредоточились на ключевых улучшениях для разбора уязвимостей, новых возможностях анализа достижимости и повышении удобства работы с перечнем программных компонентов.
Визуальный интерфейс страницы стал удобнее и нагляднее.
Теперь на ней можно просматривать детальные данные из каждого источника, в котором была обнаружена уязвимость, сохраняя единый идентификатор и контекст.
Помимо этого, на странице появилось разделение затронутых компонентов на:
- зависимости из SCA-проектов;
- пакеты, проверенные модулем CodeScoring.OSA.
Это упрощает оценку рисков и помогает тонко настроить процессы, связанные с разбором уязвимостей.
🔗 Развитие анализа достижимости
В интерфейсе появилась страница с визуализацией пути до уязвимого метода. Она позволяет отследить цепочку вызовов, перейдя в новый раздел прямо из списка уязвимостей.
К списку поддерживаемых языков данного функционала добавился Kotlin.
🔎 SBOM и работа с зависимостями
В этом релизе мы провели масштабную работу над улучшением работы с перечнем программных компонентов:
- добавлена поддержка CycloneDX 1.7;
- добавлено поле GOST:provided_by для соответствия требованиям ФСТЭК России к перечню программных компонентов;
- оптимизирована скорость анализа зависимостей;
- реализована возможность указывать ветку или тег при импорте SBOM;
- реализовано получение списка доступных форматов SBOM через API;
- внедрена дополнительная проверка формата и версии загружаемого SBOM.
Эти изменения позволяют командам корректно управлять составом компонентов в соответствии с отечественными стандартами безопасной разработки.
⚙️ Использование списков при создании политик
Теперь при формировании правила внутри политики можно задать не единственное значение, а список нужных сущностей. Например, набор идентификаторов уязвимостей или компонентов.
Таким образом, политики становятся более гибкими и выразительными, а настройка правил – быстрее и удобнее для сложных сценариев контроля.
Модуль CodeScoring.TQI получил новые графики и метрики для оценки активности авторов и динамики проектов. Теперь с его помощью можно:
- посчитать плотность и скорость изменения кода в проекте;
- увидеть общее влияние изменений на сводном графике.
Время подсчета метрик в проектах существенно сократилось за счет перехода на новый механизм разбора коммитов.
Также добавлена фильтрация по типу коммитов в списке коммитов, а визуализация проектов стала более информативной. Команды могут быстрее выявлять зоны риска и изучать динамику работы над проектами в ретроспективе.
📌Другие улучшения
- В консольном агенте Johnny добавлена поддержка пакетного менеджера bun, а также добавлены списки проигнорированных политик, локализация отчетов и параметры категории и группы проекта;
- Для находок в модуле Secrets добавлены поля “Энтропия” и “Координаты”.
Полный список изменений доступен на странице Changelog в документации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27❤11👍6❤🔥5👏2
CodeScoring: плагины, интеграции, выступления!
🤝 Совместимость с Deckhouse
Мы подтвердили совместимость нашего продукта с Deckhouse Kubernetes Platform. Команды «Фланта» и CodeScoring оценили качество выполнения практик контроля безопасности Open Source и анализа секретов в коде. Надежная работа CodeScoring в кластерах DKP подтверждена, к использованию в продуктивной среде готовы! Детали на CISOCLUB
🔌 Интеграция с платформой «Сфера»
Команда CodeScoring разработала плагин для продукта «Сфера.Дистрибутивы и Лицензии» (платформа «Сфера», разработанная вендором НОТА, холдинг Т1). Плагин обеспечивает прямую интеграцию с модулем CodeScoring.OSA, не зависит от зарубежных систем и помогает выстроить безопасный процесс проверки сторонних компонентов. Читайте подробнее на CNews
🎤 Выступление на Stereo Data Ёлке
Алексей Смирнов на мероприятии в Петербурге подвел итоги 2025 года в open source, рассказал, какие уязвимости доставили больше всего проблем, и напомнил, как систематически с ними бороться. Смотрите запись доклада на VK Video
Дальше — больше!
🤝 Совместимость с Deckhouse
Мы подтвердили совместимость нашего продукта с Deckhouse Kubernetes Platform. Команды «Фланта» и CodeScoring оценили качество выполнения практик контроля безопасности Open Source и анализа секретов в коде. Надежная работа CodeScoring в кластерах DKP подтверждена, к использованию в продуктивной среде готовы! Детали на CISOCLUB
🔌 Интеграция с платформой «Сфера»
Команда CodeScoring разработала плагин для продукта «Сфера.Дистрибутивы и Лицензии» (платформа «Сфера», разработанная вендором НОТА, холдинг Т1). Плагин обеспечивает прямую интеграцию с модулем CodeScoring.OSA, не зависит от зарубежных систем и помогает выстроить безопасный процесс проверки сторонних компонентов. Читайте подробнее на CNews
🎤 Выступление на Stereo Data Ёлке
Алексей Смирнов на мероприятии в Петербурге подвел итоги 2025 года в open source, рассказал, какие уязвимости доставили больше всего проблем, и напомнил, как систематически с ними бороться. Смотрите запись доклада на VK Video
Дальше — больше!
❤🔥18🔥13🤩5👏3
В новом релизе плагинов 2026.8.0 добавлена возможность просмотра алертов политик безопасности прямо в IDE.
Разработчики могут видеть, какие политики сработали при анализе кода и получать детальную информацию:
Также устранены проблемы совместимости с IntelliJ и ошибки при автоматическом применении исправлений в обоих плагинах. Работа с инструментами стала более стабильной и предсказуемой.
Это помогает заранее предотвращать нарушения и интегрировать анализ кода в привычный рабочий процесс.
Новые версии плагинов уже можно скачать в маркетплейсах
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16
Media is too big
VIEW IN TELEGRAM
В версии 2026.11.0 мы существенно обновили ML-модель в модуле CodeScoring.Secrets, расширили данные, доступные при анализе уязвимостей, и внедрили отдельную страницу для работы с алертами.
Также в платформе появилась интеграция с Кайтен, которая позволяет напрямую связывать результаты анализа с рабочими задачами команды.
Начиная с лета прошлого года мы работали над улучшением ML-модели для оценки истинности найденных секретов в исходном коде!
Мы расширили и очистили обучающий набор данных, добавили новые примеры и обновили саму модель, а также переработали обработку фрагментов кода вокруг потенциальных секретов.
В результате точность распознавания выросла с 0,70 до 0,90 по метрике PR AUC – показателю, который отражает способность системы отличать реальные секреты от ложных срабатываний.
В интерфейсе платформы появилась отдельная страница алерта, которая позволяет подробнее изучать срабатывания политик безопасности и работать с ними напрямую.
Также расширен экспорт данных об алертах. В CSV и PDF-отчётах теперь отображается статус блокировки и заметки про игнор.
Дополнительно в экспорте используется идентификатор алерта, что упрощает сопоставление данных отчётов с объектами в интерфейсе.
Платформа получила новые источники и метрики для оценки уязвимостей.
Теперь в интерфейсе отображаются:
Эти данные можно использовать в политиках безопасности вместе с другими параметрами уязвимостей.
Также обновлена логика отображения информации об уязвимостях. Если данные поступают из нескольких источников, теперь система:
В платформе появилась интеграция с системой управления задачами Кайтен. Теперь по результатам анализа можно создавать задачи в Кайтен напрямую из интерфейса CodeScoring и связывать алерты безопасности с рабочими процессами команды.
Это упрощает передачу результатов анализа в системы управления разработкой и помогает отслеживать устранение проблем.
Мы продолжаем расширять список поддерживаемых языков в рамках анализа достижимости уязвимых функций – в этом релизе добавлено построение графа вызовов для языка C#.
Благодаря обновлению модуля Svace построение графа вызовов теперь также доступно на Windows. Также добавлена поддержка удаленного анализа.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥26
Уже 9 апреля мы встретимся с вами на вебинаре, где расскажем про обновления платформы, которые помогают выстроить эффективный процесс безопасной разработки и кратно снизить рутину для команд AppSec.
В программе:
Расскажем про все возможности CodeScoring.OSA Proxy и покажем уникальные для рынка подходы к защите цепочки поставок.
Анализ достижимости уязвимых методов стал еще шире, ведь мы добавили поддержку Python, Go, Kotlin, C# и визуализацию графа вызовов в UI.
Мы серьезно прокачали наш подход и процесс обучения, расширив тренировочные данные. Как результат: снижение числа ложных срабатываний, чтобы ИБ-специалисты тратили время только на реальные угрозы.
Вы сможете пообщаться с нашей продуктовой командой и задать вопросы в прямом эфире!
Дата и время: 9 апреля в 11:00 (мск)
👉🏻 Регистрация
До встречи!
#вебинар_cs
Please open Telegram to view this post
VIEW IN TELEGRAM
❤14
Мы добавили интеграцию с российским таск-трекером Kaiten. Идея родилась из конкретного запроса клиента и выросла в полноценную функцию для всех пользователей.
Как это работает: когда срабатывает политика безопасности, специалист может создать задачу прямо из интерфейса и передать её команде разработки.
Задачи улетают на отдельную доску безопасности в Кайтен, откуда разработчики берут их в работу. Вид, тип и шаблон задачи легко настраивается.
Как подключить: генерируете токен в Кайтен и указываете его в настройках CodeScoring. Готово! Интеграция доступна с версии 2026.11.0.
Продолжаем делать AppSec-процессы удобнее
#CodeScoring #безопаснаяразработка #kaiten
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
В версии 2026.20.0 основной акцент сделан на разборе находок, приоритизации и организации результатов по проектам и образам.
Отдельное внимание уделили работе с составом компонентов: в платформе появились инструменты для работы с внутренними пакетами, новые данные для оценки уязвимостей и дополнительные возможности при импорте и выгрузке SBOM.
В CodeScoring.SCA появился механизм триажа уязвимостей по стандарту VEX. Теперь для найденных уязвимостей можно назначать статус, указывать обоснование и фиксировать принятые решения.
Разбор уязвимостей стал ближе к рабочему процессу команды: по каждой находке можно не только увидеть технические данные, но и сохранить результат ручного анализа, например подтверждение проблемы или решение о том, что уязвимость не затрагивает проект.
Также обновлены данные и возможности работы с уязвимостями:
В CodeScoring.Secrets добавлена поддержка сканирования движком TruffleHog. Разные движки находят разные секреты, а CodeScoring дедуплицирует находки, чтобы команда работала с единым результатом без ручного сопоставления повторов.
Johnny также получил поддержку TruffleHog. Помимо этого в агенте расширены сценарии сканирования секретов: добавлены git-режим, флаг --commit для сканирования директорий и флаги для передачи конфигураций Gitleaks и TruffleHog.
В CodeScoring.OSA появилась отдельная страница списка слоев образов. Также таблицы слоев добавлены на страницу отсканированного образа в проекте и на страницу контейнерного образа.
Для работы со слоями в Johnny добавлены команды создания слоев контейнерных образов.
Для работы с внутренними пакетами (inner source) добавлены настройки на странице зависимостей проекта и фильтрация при выгрузке SBOM. Речь о пакетах, которые компания разрабатывает внутри и не публикует в open source.
При импорте SBOM Johnny теперь обрабатывает свойства GOST:provided_by, inner_source и source-distribution.
Отдельно продолжается работа над более гибкой моделью версий в SCA-проектах. В этом релизе стали видны отдельные элементы этой модели: теперь ветками можно управлять в настройках проекта.
Полный список изменений доступен на странице Changelog в документации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥20
• Какие подходы обеспечивают безопасность разработки на разных этапах
• Как команды используют нейросети в разработке
• Какие облачные практики и инструменты действительно работают
• Какой эффект компании получают от внедрения подобных технологий и др.
По итогам опроса организаторы подготовят детальный отчет со всеми ключевыми трендами 2026 года. Его результатами мы обязательно поделимся с вами!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥7