🚀 Обновление CodeScoring 2025.29.0: просмотр сканов в истории, ручные действия с алертами, кастомизация экспортов, верификация и подпись SBoM В этом релизе мы сосредоточились на расширении взаимодействия с алертами, кастомизации выгрузок и переходе на новую версию Index API. Также добавили несколько полезных обновлений в политиках безопасности и провели техническую оптимизацию системы. Детальный просмотр истории сканирований В истории сканирований теперь доступны подробности по каждому результату SCA-анализа. Можно увидеть полученный список компонентов, их уязвимости, а также граф зависимостей на момент проведения анализа. Получение данных через новый Index API Все модули платформы окончательно переведены на работу с новой версией Index API. Работа над переходом велась постепенно в течение года, помимо использования нового API изменилась часть архитектуры системы. Это внешне незаметное изменение позволило заметно ускорить получение данных и сократить время анализов. Также обновление позволит нам быстрее добавлять новые источники данных и внедрять новую функциональность. Управление алертами и результатами анализа вручную Теперь создавать задачи из алертов или отправлять письма ответственным можно не только автоматически, но и вручную – прямо из интерфейса. Это полезно, если нужно оперативно и гранулярно отреагировать на проблему и инициировать последующие действия. Новый уровень доступа Для пользователей, которым необходимо просматривать все разделы, связанные с безопасностью, но изменять только политики, теперь доступен уровень доступа Security Manager. Более подробно о правах этой роли можно прочесть в нашей документации. Улучшения экспортов: кастомизация и новые данные Экспорт PDF и SBoM стал настраиваемым: можно выбрать, какие поля попадут в отчёт, и отфильтровать, какие компоненты включать. Это даёт больше контроля при подготовке документов для разных аудиторий и внешних систем. Дополнительно мы добавили полезные поля в результаты композиционного анализа: 1. В таблице зависимостей появилась колонка “Максимальная исправленная версия” – она помогает быстро понять, какую версию выбрать для устранения наибольшего числа уязвимостей; 2. В отчётах по алертам добавлено поле “Технология”, упрощающее сортировку и аналитику. Новые условия и гибкость в политике безопасности Система политик получила несколько точечных, но удобных обновлений: 1. Добавлено условие “Зависимость является потомком” – с его помощью можно фильтровать вложенные зависимости конкретного пакета. Это особенно полезно при анализе сложных проектов; 2. Реализована отложенная блокировка – она выражается количеством дней от первого срабатывания политики блокировки; 3. Игнор политик теперь можно назначать сразу на всю группу проектов – без необходимости задавать каждый по отдельности. Johnny: подпись SBoM и улучшенная доступность Johnny теперь поддерживает подпись и верификацию перечней программных компонентов. Это важно для соответствия требованиям безопасности и интеграции с внешними процессами поставки ПО. Помимо этого: 1. Добавлена выгрузка алертов в различных форматах; 2. Значительно улучшена работа с проектами Gradle: теперь можно работать с мультимодульными сборками и объединенным форматом зависимостей в build.gradle; 3. Агент теперь можно скачать прямо из инсталляции – без прямого доступа к реестру; 4. Появилась возможность передавать флаги пакетным менеджерам при разрешении зависимостей – это полезно, например, для фильтрации списка получаемых зависимостей; 5. Отчеты всех форматов теперь содержат больше информации: поля Relation, Parents, Match type и Env появились в CSV, информация о лицензиях – в текстовых и табличных отображениях, а выгрузка в sarif теперь содержит признак наличия публичных эксплойтов; 6. Улучшен анализ сборки С/С++ с использованием eBPF. Полный список изменений можно посмотреть на странице Changelog в документации.