Агент Johnny раскрыт! Смотрим на CodeScoring под микроскопом Natch

Наши коллеги по цеху безопасной разработки ИСП РАН, НТЦ «Фобос-НТ», «Базальт СПО» и мы, провели исследование CodeScoring при помощи инструмента Natch.

Natch — это инструмент от ИСП РАН, использующий динамический анализ, для определения поверхности атаки приложений и систем, основанный на полносистемном эмуляторе QEMU.

👀 По ссылке будет сложно, но интересно:
https://habr.com/ru/companies/isp_ras/articles/892548/

Авторы: Андрей Слепых, Никита Бесперстов, Павел Довгалюк.

🚀 Обновление CodeScoring 2025.13.0: анализ секретов в CI/CD, новые возможности уведомлений и поддержка Swift

В версии 2025.13.0 мы добавили анализ секретов с помощью консольного агента Johnny, значительно обновили конфигурацию CodeScoring в Docker Compose, расширили поддержку экосистем и добавили новые гибкие настройки уведомлений. Вот что изменилось:

Анализ секретов в CI/CD

Консольный агент Johnny теперь умеет анализировать директории на наличие секретов. Более подробно об этой функциональности можно узнать в документации.

Также, появилась история сканирования секретов в проектах.

Обновление конфигурации Docker Compose

Конфигурация CodeScoring в Docker Compose претерпела глубокую модернизацию. Перед обновлением ознакомьтесь с инструкцией, чтобы избежать возможных проблем при переходе.

Поддержка Swift Package Manager

Теперь CodeScoring поддерживает анализ манифестов Swift. Johnny научился разбирать файлы Package.swift и Package.resolved и анализировать зависимости данной экосистемы.

Новые настройки уведомлений и создания задач

1. Теперь можно гибко настраивать отправку Email-уведомлений и создание задач в Jira на отдельные группы и проекты a в рамках одной политики.
2. Добавлены два режима отправки уведомлений и создания задач: отдельное письмо/задача на каждый алерт или единый дайджест по всему сканированию.

Дополнительные изменения и улучшения

1. В словарные политики добавлен оператор "не соответствует".
2. Улучшена валидация паролей при создании нового пользователя и смене пароля.
3. Исправлены ошибки в фильтрации, сортировке и отображении данных в различных модулях.
4. Оптимизирована работа страницы политик и обновление информации об уязвимостях.

Полный список изменений можно увидеть на странице Changelog в документации.

Уже через 10 минут мы начинаем наш вебинар "Безопасное использование Open Source и эффективный поиск секретов с CodeScoring".

Присоединяйтесь!
https://my.mts-link.ru/j/CodeScoring/CS_1_25

❤️Весенний вебинар от CodeScoring!

Мы знаем, как важно не только использовать инструмент, но и разбираться в его возможностях. Поэтому запускаем новый формат общения с нами!

📅 27 марта в 11:00 приглашаем вас на вебинар:
"Безопасное использование Open Source и эффективный поиск секретов с CodeScoring"

Что обсудим?
- Как CodeScoring помогает безопасно использовать Open Source?
- Новый модуль поиска секретов в коде – как это работает?
- Вопросы-ответы: удобно, честно, по делу.

👥 С кем пообщаемся?
С продуктовой командой CodeScoring – без формальностей и шаблонных ответов.

📌 Регистрация:
https://my.mts-link.ru/j/CodeScoring/CS_1_25

Будем рады видеть вас и ваших коллег, кто уже пользуется CodeScoring или только хочет узнать о нём больше.

До встречи на вебинаре! 🚀

#CS_вебинар

ТБФорум 2025: итоги и медитация

На прошлой неделе завершился ТБФорум, а вместе с ним и конференция "Эксперты и экспертиза РБПО. Вызовы нашего времени".

Все три дня форума мы были рады встречать наших заказчиков и друзей по сообществу, отвечать на вопросы о текущем и будущем Платформы. Без свежего мерча "GOST in the Shell" тоже не обошлось.

Наш основатель Алексей Смирнов выступил с докладом "Построение процесса безопасной разработки: от общего к частностям".

В докладе проиллюстрирована схема выращивания экспертизы внутри организации и поднят важный вопрос: "как будет выглядеть РБПО, когда всё больше роботов пишет код?".

Погрузиться в медитацию (в прямом и переносном смысле) можно в уже доступных видео с конференции:

📱 VK | �� YT

До скорых встреч!

#ТБФорум #видео_на_выходные

🚀 Обновление CodeScoring 2025.7.0: расширенные возможности консольного агента, дополнительные настройки проектов и другие нововведения

За последние месяцы мы добавили новые механизмы анализа, упростили управление проектами и оптимизировали работу интерфейса. Вот какие изменения произошли в версии 2025.7.0:

Сканирование отдельных технологий и улучшения консольного агента

Теперь консольный агент Johnny позволяет сканировать директории с предустановленными настройками для разных технологий. Это значительно упрощает процесс анализа, так как в этом случае не требуется вручную настраивать параметры для каждого проекта. Например, команда johnny scan java будет обрабатывать только манифесты для Java с использованием парсеров и разрешением зависимостей в окружении конкретно для данного языка.

Помимо этого в Johnny появилось два важных нововведения:

1. В отчеты теперь добавляется информация о наличии эксплойтов для найденных уязвимостей. Это позволяет быстрее оценивать критичность угроз и реагировать на них приоритетно;
2. Поддержаны механизмы Selective dependency resolutions для Yarn и NPM Package aliases. Теперь агент корректно обрабатывает случаи подмены названия пакетов и фиксации версии.

Расширенные настройки проектов

Настройки проектов теперь удобно разделены по модулям, и в них добавлены новые опции: отключение облачного резолва, игнорирование файлов, а также включение и отключение рекурсивного поиска.

Обновленная визуализация в модуле TQI

Карты сложности проектов, активности авторов и дубликатов в модуле TQI стали удобнее и современнее. В них добавлена интуитивная навигация, новый дизайн и дополнительные фильтры.

Новые механизмы мониторинга и интеграции

1. Реализованы вебхуки для событий модуля Secrets.
2. Добавлен вывод метрики доступности Index API.
3. Теперь можно отключать проверку TLS при подключении к приватным реестрам Docker-образов с самоподписанными сертификатами, упрощая интеграцию.

Другие улучшения инсталляции

1. В интерфейсе управления полями зависимостей появилась возможность выбора лицензии.
2. При создании политики теперь можно сразу выбрать группу, а также добавлять проекты без предварительного выбора подразделения.
3. Оптимизирована работа списка зависимостей в SCA и списка запросов в OSA.
4. Улучшено сохранение состояния фильтров и пагинации при редактировании зависимостей.

Полный список изменений можно увидеть на странице Changelog в документации.

CodeScoring на ТБ Форум 2025


🎉 30-й юбилейный ТБ Форум
📅 11–13 февраля 2025 года
📌 МВЦ «Крокус Экспо», павильон 2, зал 10

Участие в ТБ Форуме стало для нас хорошей традицией! Уже три года подряд мы вместе и второй год CodeScoring поддерживает мероприятие в качестве генерального партнера.

👉 Загляните на наш демо-стенд (H01), чтобы:

- поделиться своими задачами и узнать больше про CodeScoring
- пообщаться с легендарной Службой заботы (да, они всё такие же крутые, как вы слышали)
- узнать, что мы готовим в ближайших релизах

А 13 февраля Алексей Смирнов в блоке «Эксперты и экспертиза РБПО. Вызовы нашего времени» представит доклад: «Построение процесса безопасной разработки: от общего к частностям». Не пропустите!

📋 Программа форума уже доступна. Участие бесплатное, но важно зарегистрироваться.

Приходите, чтобы быть в курсе главных трендов и обсудить будущее кибербезопасности.

#ТБФорум #события