🚀 Обновление CodeScoring 2025.37.0 Достижимость уязвимостей, формирование SBoM без участия инсталляции, поддержка SPDX и OIDC, а также новые возможности в TQI В этом релизе мы сделали анализ уязвимостей глубже, усилили поддержку стандартов и расширили интеграции. Обновления также затронули политики безопасности и модуль TQI. Определение достижимости уязвимостей В платформе появилась одна из самых ожидаемых возможностей – анализ достижимости уязвимостей. С помощью агента Johnny теперь можно проверить использование уязвимых вызовов в подключаемых библиотеках. Эти данные помогают фильтровать находки и в первую очередь устранять уязвимости, представляющие наибольшую опасность. Совместно с научно-техническим центром «Фобос-НТ» мы подготовили собственную базу знаний: в ходе экспертного исследования репозиториев для каждой уязвимости были выделены характерные вызовы, что позволило добиться высокой точности покрытия. В основе анализа лежит построение графа вызовов, для чего используется модуль Svace Института системного программирования РАН, интегрированный в CodeScoring. Результаты анализа достижимости доступны в отчётах Johnny и в интерфейсе CodeScoring. В политиках безопасности появился новый критерий для проверки достижимых уязвимостей. Подробнее можно прочитать в документации. На данный момент поддерживается язык Java, а в ближайших релизах список языков будет расширен. Формирование SBoM без участия инсталляции и другие улучшения Johnny Агент Johnny теперь умеет формировать SBoM, не отправляя результаты на инсталляцию CodeScoring. Это позволяет осуществлять работу агента в изолированном контуре и получать итоговые отчеты локально. Помимо этого формируемый SBoM стал точнее соответствовать рекомендациям ФСТЭК России – в нем появилось конфигурируемое на уровне проекта поле manufacturer. Большая работа проделана по улучшению качества ссылок на репозитории с исходным кодом библиотек. Также, агент теперь поддерживает разбор новых форматов манифестов: deps.json и .sln для .NET. OpenID Connect (OIDC) Добавлена поддержка OIDC для аутентификации. Это упростит интеграцию с корпоративными системами единого входа, такими как Keycloak, и сделает процесс авторизации более безопасным. Поддержка SPDX CodeScoring теперь умеет выгружать SBoM в формате SPDX. Это расширяет совместимость с внешними инструментами и соответствует отечественным и международным практикам управления цепочкой поставок ПО. Новые возможности в TQI В модуле Teams & Quality Intelligence появились новые метрики и улучшения аналитики: 1. сравнение активности нескольких авторов на одном графике; 2. расчёт активности авторов с учётом релевантных месяцев, когда автор коммитил изменения; 3. метрика участия авторов в проектах. Улучшения в политиках Система политик стала ещё гибче: 1. добавлено условие для описания «глубины» транзитивности уязвимых зависимостей; 2. условия в выпадающих списках разделены на секции для удобства; 3. стало проще переносить правила внутри политик. Кастомные шаблоны уведомлений и тикетов При создании задач в Jira и email-уведомлений теперь можно использовать собственные шаблоны. Это позволяет адаптировать сообщения под формат конкретной команды или проекта. Полный список изменений можно посмотреть на странице Changelog в документации.