31/08/22
Российское решение композиционного анализа программных продуктов CodeScoring является единственным специализированным и комплексным решением анализа Open Source на российском рынке. Решение предлагает средства идентификации рисков в части безопасности компонентной базы разрабатываемых ИТ-решений.
В CodeScoring SCA появилась новая функция — OSS Firewall. CodeScoring OSS Firewall блокирует сторонние компоненты в прокси-репозиториях (например, для Nexus Repository Manager, NXRM) согласно настроенным политикам, что обеспечивает защиту создаваемых программных продуктов от включения в них уязвимых и небезопасных сторонних открытых компонентов.
Важно отметить, что проверка правил блокировки в CodeScoring происходит при любой попытке использовать артефакт, в том числе обеспечивается запрет на прямое скачивание заблокированного компонента через веб-интерфейс хранилища артефактов и дальнейшего использования в контуре разработки.
«Ушедшие с рынка инструментов безопасной разработки западные вендоры оставили российский рынок без инструментов контроля цепочки поставки ПО. Мы радыпредложить качественную альтернативу.» – Алексей Смирнов, Основатель CodeScoring.
С функцией OSS Firewall решение CodeScoring обеспечивает безопасность использования Open Source на всех этапах разработки программного обеспечения: от защиты периметра кодовой базы и безопасности сборок в CI-конвейере, до функции непрерывного мониторинга кода на появление новых уязвимостей в используемых компонентах.
«Очень долгожданный функционал! Пожалуй, самый популярный вопрос, когда разговариваешь с заказчиками о SCA: «А есть ли у решения X функционал Firewall?» Его использование позволяет с большей вероятностью реализовать концепт “чистой комнаты”, когда можно контролировать в том числе то, что попадает в используемый репозиторий с Open Source зависимостями. Такой подходсоответствует столь любимому в ИБ-кругу принципу “эшелонирования”, когда можно идентифицировать ИБ-дефекты на различных этапах жизненного цикла ПО: при загрузке компоненты и/или в процессе ее использования. Мы получили позитивные впечатления после тестирования Firewall в нашей лаборатории: все работает и настраивается достаточно просто. Хотя у нас уже есть пара просьб по доработке, но это больше по удобству использования. Надеемся и верим, что продукт будет развиваться дальше и радовать новым функционалом.» — добавил Антон Гаврилов,руководитель направления DevSecOps центра информационной безопасности компании «Инфосистемы Джет».
«Новая функциональность OSS Firewall проходит апробацию в крупнейших банках России и подойдет всем организациям поддерживающим практику безопасного цикла разработки программного обеспечения (SSDLC): банкам, IT-компаниям, телеком операторам и другим организациям, для которых важны вопросы кибербезопасности и качества собственных продуктов.» – Дарья Орешкина, Директор по развитию бизнеса“Web Control”.
