🍀 Новый сервис OSA Proxy

В модуле CodeScoring.OSA появился новый сервис – OSA Proxy. Он выступает посредником между пакетными менеджерами и их удалёнными репозиториями, автоматически проверяя пакеты и блокируя небезопасные версии в соответствии с политиками безопасности. Это позволяет внедрять модуль CodeScoring.OSA без привязки к хранилищам артефактов и гарантирует соблюдение требований безопасности при работе с внешними пакетными индексами.

OSA Proxy помогает централизованно контролировать загрузку компонентов с помощью политик безопасности, снижает риск попадания уязвимых версий в проекты и упрощает интеграцию с существующими процессами разработки. На данный момент сервис поддерживает Maven Central, NPM, PyPI, NuGet, Go Modules, Debian, а также альтернативные репозитории, совместимые с официальными спецификациями.

🌕 Прямая интеграция

OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры. Команды получают возможность подключать сервис без необходимости изменять привычные рабочие процессы.

🌕 Контроль безопасности на лету

Каждый манифест и пакет проходят проверку на соответствие политикам безопасности. Уязвимые версии исключаются из манифестов, а загрузка небезопасных архивов блокируется ещё до попадания в проект. Это позволяет специалистам сосредоточиться на исправлении реальных угроз, не отвлекаясь на ручной контроль.

🌕 Управляемые ответы

OSA Proxy модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов. Благодаря этому внешние инструменты и пакетные менеджеры продолжают работать корректно, а проекты защищены от случайного использования уязвимых компонентов.

🌕 Гибкие режимы работы

Сервис поддерживает несколько режимов работы: от «наблюдателя» до строгой блокировки. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.

🌕 Надёжная и масштабируемая архитектура

Асинхронная модель обработки и механизм автоматических повторов при временных ошибках обеспечивают стабильность даже при высоких нагрузках. Сервис спроектирован легко масштабируемым и рассчитан на высокую нагрузку, в соответствии с требованиями современной инфраструктуры.

OSA Proxy доступен всем пользователям модуля CodeScoring.OSA.

Подробнее о настройке и возможностях – в нашей открытой документации.

🙌 Итоги 2025 года в CodeScoring

2025 стал для нас годом инноваций и укрепления позиций!

За это время мы:
- внедрили значительные улучшения в продукт
- расширили сеть сотрудничества
- активно участвовали в ключевых событиях отрасли

CodeScoring эволюционирует, чтобы точнее соответствовать актуальным задачам безопасной разработки и оставаться надежным партнёром для более чем 40 тысяч разработчиков в России.

Оглядываясь на прошедшие месяцы, мы рады поделиться основными успехами нашей команды и заглянуть в будущее.

🔗 Читайте полные итоги на нашем сайте.

Пусть 2026 принесёт гармонию в процессах, уверенность в коде и вдохновение для новых идей. С наступающим! 🎄

🤖 Обновление CodeScoring 2026.3.0

В первом релизе 2026 года мы сосредоточились на ключевых улучшениях для разбора уязвимостей, новых возможностях анализа достижимости и повышении удобства работы с перечнем программных компонентов.

📄 Новая страница уязвимости

Визуальный интерфейс страницы стал удобнее и нагляднее.

Теперь на ней можно просматривать детальные данные из каждого источника, в котором была обнаружена уязвимость, сохраняя единый идентификатор и контекст.

Помимо этого, на странице появилось разделение затронутых компонентов на:
- зависимости из SCA-проектов;
- пакеты, проверенные модулем CodeScoring.OSA.

Это упрощает оценку рисков и помогает тонко настроить процессы, связанные с разбором уязвимостей.

🔗 Развитие анализа достижимости

В интерфейсе появилась страница с визуализацией пути до уязвимого метода. Она позволяет отследить цепочку вызовов, перейдя в новый раздел прямо из списка уязвимостей.

К списку поддерживаемых языков данного функционала добавился Kotlin.

🔎 SBOM и работа с зависимостями

В этом релизе мы провели масштабную работу над улучшением работы с перечнем программных компонентов:

- добавлена поддержка CycloneDX 1.7;
- добавлено поле GOST:provided_by для соответствия требованиям ФСТЭК России к перечню программных компонентов;
- оптимизирована скорость анализа зависимостей;
- реализована возможность указывать ветку или тег при импорте SBOM;
- реализовано получение списка доступных форматов SBOM через API;
- внедрена дополнительная проверка формата и версии загружаемого SBOM.

Эти изменения позволяют командам корректно управлять составом компонентов в соответствии с отечественными стандартами безопасной разработки.

⚙️ Использование списков при создании политик

Теперь при формировании правила внутри политики можно задать не единственное значение, а список нужных сущностей. Например, набор идентификаторов уязвимостей или компонентов.

Таким образом, политики становятся более гибкими и выразительными, а настройка правил – быстрее и удобнее для сложных сценариев контроля.

🌼 CodeScoring.TQI: аналитика и новые графики

Модуль CodeScoring.TQI получил новые графики и метрики для оценки активности авторов и динамики проектов. Теперь с его помощью можно:

- посчитать плотность и скорость изменения кода в проекте;
- увидеть общее влияние изменений на сводном графике.

Время подсчета метрик в проектах существенно сократилось за счет перехода на новый механизм разбора коммитов.

Также добавлена фильтрация по типу коммитов в списке коммитов, а визуализация проектов стала более информативной. Команды могут быстрее выявлять зоны риска и изучать динамику работы над проектами в ретроспективе.

📌Другие улучшения

- В консольном агенте Johnny добавлена поддержка пакетного менеджера bun, а также добавлены списки проигнорированных политик, локализация отчетов и параметры категории и группы проекта;
- Для находок в модуле Secrets добавлены поля “Энтропия” и “Координаты”.

Полный список изменений доступен на странице Changelog в документации.😁

😃Обновление плагинов CodeScoring для VS Code и IntelliJ-based IDE

В новом релизе плагинов 2026.8.0 добавлена возможность просмотра алертов политик безопасности прямо в IDE.

Разработчики могут видеть, какие политики сработали при анализе кода и получать детальную информацию:
🔴 уровень политики
🔴 статус блокировки
🔴 связанные пакеты
🔴 критерии, которые вызвали срабатывание

Также устранены проблемы совместимости с IntelliJ и ошибки при автоматическом применении исправлений в обоих плагинах. Работа с инструментами стала более стабильной и предсказуемой.

✔️ Теперь команды могут удобнее проверять соответствие корпоративным политикам безопасности прямо в среде разработки, ещё до того, как код попадёт в пайплайн сборки.
Это помогает заранее предотвращать нарушения и интегрировать анализ кода в привычный рабочий процесс.

Новые версии плагинов уже можно скачать в маркетплейсах ⬇️
🔴JetBrains
🔴VS Code
🔴OpenIDE

😃 Обновление CodeScoring 2026.11.0

В версии 2026.11.0 мы существенно обновили ML-модель в модуле CodeScoring.Secrets, расширили данные, доступные при анализе уязвимостей, и внедрили отдельную страницу для работы с алертами.

Также в платформе появилась интеграция с Кайтен, которая позволяет напрямую связывать результаты анализа с рабочими задачами команды.

🌟 Обновленная ML-модель для оценки истинности секретов

Начиная с лета прошлого года мы работали над улучшением ML-модели для оценки истинности найденных секретов в исходном коде!

Мы расширили и очистили обучающий набор данных, добавили новые примеры и обновили саму модель, а также переработали обработку фрагментов кода вокруг потенциальных секретов.

В результате точность распознавания выросла с 0,70 до 0,90 по метрике PR AUC – показателю, который отражает способность системы отличать реальные секреты от ложных срабатываний.

🔻 Детальная страница алерта

В интерфейсе платформы появилась отдельная страница алерта, которая позволяет подробнее изучать срабатывания политик безопасности и работать с ними напрямую.

Также расширен экспорт данных об алертах. В CSV и PDF-отчётах теперь отображается статус блокировки и заметки про игнор.

Дополнительно в экспорте используется идентификатор алерта, что упрощает сопоставление данных отчётов с объектами в интерфейсе.

⚡️Расширенные данные об уязвимостях

Платформа получила новые источники и метрики для оценки уязвимостей.

Теперь в интерфейсе отображаются:
🔴CVSS v4 - для более точной оценки риска с учётом взаимодействия пользователя и условий эксплуатации
🔴EPSS - для оценки вероятности эксплуатации уязвимости
🔴SSVC v2.0.3 - для приоритизации исправления уязвимостей по степени потенциального влияния
🔴Категории протестного ПО

Эти данные можно использовать в политиках безопасности вместе с другими параметрами уязвимостей.

Также обновлена логика отображения информации об уязвимостях. Если данные поступают из нескольких источников, теперь система:
🔴показывает максимальную оценку для каждой версии CVSS
🔴отображает самые ранние даты публикации и отзыва и самую позднюю дату обновления уязвимости
🔴использует обновлённый приоритет провайдеров метаданных

✔️ Интеграция с Кайтен

В платформе появилась интеграция с системой управления задачами Кайтен. Теперь по результатам анализа можно создавать задачи в Кайтен напрямую из интерфейса CodeScoring и связывать алерты безопасности с рабочими процессами команды.

Это упрощает передачу результатов анализа в системы управления разработкой и помогает отслеживать устранение проблем.

🌟 Развитие анализа достижимости

Мы продолжаем расширять список поддерживаемых языков в рамках анализа достижимости уязвимых функций – в этом релизе добавлено построение графа вызовов для языка C#.

Благодаря обновлению модуля Svace построение графа вызовов теперь также доступно на Windows. Также добавлена поддержка удаленного анализа.

➡️ Полный список изменений доступен на странице Changelog в документации.

🔹 Весенний вебинар CodeScoring: OSA Proxy, новая модель секретов и эволюция достижимости!

Уже 9 апреля мы встретимся с вами на вебинаре, где расскажем про обновления платформы, которые помогают выстроить эффективный процесс безопасной разработки и кратно снизить рутину для команд AppSec.

В программе:⬇️
🔴Безопасность без блокировок
Расскажем про все возможности CodeScoring.OSA Proxy и покажем уникальные для рынка подходы к защите цепочки поставок.

🔴Развитие достижимости
Анализ достижимости уязвимых методов стал еще шире, ведь мы добавили поддержку Python, Go, Kotlin, C# и визуализацию графа вызовов в UI.

🔴Новая модель оценки секретов
Мы серьезно прокачали наш подход и процесс обучения, расширив тренировочные данные. Как результат: снижение числа ложных срабатываний, чтобы ИБ-специалисты тратили время только на реальные угрозы.

🔴Поговорим о новой странице уязвимости, работе с ППК/SBOM, улучшенном графе зависимостей, группы проектов, интеграции с Kaiten и многом другом!

Вы сможете пообщаться с нашей продуктовой командой и задать вопросы в прямом эфире!

Дата и время: 9 апреля в 11:00 (мск)
👉🏻 Регистрация

До встречи! 😃
#вебинар_cs

🪐Алерты → задачи: встречайте интеграцию с Кайтен

Мы добавили интеграцию с российским таск-трекером Kaiten. Идея родилась из конкретного запроса клиента и выросла в полноценную функцию для всех пользователей.

Как это работает: когда срабатывает политика безопасности, специалист может создать задачу прямо из интерфейса и передать её команде разработки.

🌕 Вручную — если безопасник сам отбирает находки, группирует их, назначает приоритеты и ответственных.
🌕 Автоматически — подойдет для критичных кейсов, где важна скорость; задача будет создаваться при каждом срабатывании политики.

Задачи улетают на отдельную доску безопасности в Кайтен, откуда разработчики берут их в работу. Вид, тип и шаблон задачи легко настраивается.

Как подключить: генерируете токен в Кайтен и указываете его в настройках CodeScoring. Готово! Интеграция доступна с версии 2026.11.0.

🌕 Подробности в нашей документации.

Продолжаем делать AppSec-процессы удобнее 😁

#CodeScoring #безопаснаяразработка #kaiten

😃 Обновление CodeScoring 2026.20.0

В версии 2026.20.0 основной акцент сделан на разборе находок, приоритизации и организации результатов по проектам и образам.

Отдельное внимание уделили работе с составом компонентов: в платформе появились инструменты для работы с внутренними пакетами, новые данные для оценки уязвимостей и дополнительные возможности при импорте и выгрузке SBOM.

🧩 Триаж уязвимостей по стандарту VEX

В CodeScoring.SCA появился механизм триажа уязвимостей по стандарту VEX. Теперь для найденных уязвимостей можно назначать статус, указывать обоснование и фиксировать принятые решения.

Разбор уязвимостей стал ближе к рабочему процессу команды: по каждой находке можно не только увидеть технические данные, но и сохранить результат ручного анализа, например подтверждение проблемы или решение о том, что уязвимость не затрагивает проект.

Также обновлены данные и возможности работы с уязвимостями:

⭕ добавлены условия политик для отозванных зависимостей и ПО-вымогателей;
⭕ в экспериментальном режиме добавлена поддержка графа вызовов Joern для JavaScript для анализа достижимости уязвимых функций;
⭕ добавлен источник CISA KEV Catalog;
⭕ добавлены столбцы и фильтры по EPSS и SSVC;
⭕ обновлена логика отображения статуса отзыва.

🧩 CodeScoring.Secrets и TruffleHog

В CodeScoring.Secrets добавлена поддержка сканирования движком TruffleHog. Разные движки находят разные секреты, а CodeScoring дедуплицирует находки, чтобы команда работала с единым результатом без ручного сопоставления повторов.

Johnny также получил поддержку TruffleHog. Помимо этого в агенте расширены сценарии сканирования секретов: добавлены git-режим, флаг --commit для сканирования директорий и флаги для передачи конфигураций Gitleaks и TruffleHog.

🔖 Слои контейнерных образов

В CodeScoring.OSA появилась отдельная страница списка слоев образов. Также таблицы слоев добавлены на страницу отсканированного образа в проекте и на страницу контейнерного образа.

Для работы со слоями в Johnny добавлены команды создания слоев контейнерных образов.

⚡ Внутренние пакеты и SBOM

Для работы с внутренними пакетами (inner source) добавлены настройки на странице зависимостей проекта и фильтрация при выгрузке SBOM. Речь о пакетах, которые компания разрабатывает внутри и не публикует в open source.

При импорте SBOM Johnny теперь обрабатывает свойства GOST:provided_by, inner_source и source-distribution.

✅ Управление ветками проектов

Отдельно продолжается работа над более гибкой моделью версий в SCA-проектах. В этом релизе стали видны отдельные элементы этой модели: теперь ветками можно управлять в настройках проекта.

Полный список изменений доступен на странице Changelog в документации.

🪐Как Cloud Native и ИИ меняют разработку в России: участвуйте в исследовании

🔴Ассоциация облачно-ориентированных технологий (АОТ) запустила исследование State of Cloud Native — продолжение известного многим State of DevOps Russia. CodeScoring — партнёр этого проекта, и мы приглашаем вас помочь в оценке состояния индустрии.

🔴В этом году в фокусе подходы российских компаний к применению Cloud Native-технологий, ИИ в разработке и DevOps.

• Какие подходы обеспечивают безопасность разработки на разных этапах 
• Как команды используют нейросети в разработке
• Какие облачные практики и инструменты действительно работают
• Какой эффект компании получают от внедрения подобных технологий и др.

😁Если вы связаны с DevOps и разработкой, ответьте на вопросы по ссылке, это займет около 20 минут.

По итогам опроса организаторы подготовят детальный отчет со всеми ключевыми трендами 2026 года. Его результатами мы обязательно поделимся с вами!