CodeScoring SCA дополнено OSS Firewall, который обеспечивает блокировку уязвимых Open Source компонентов в прокси-репозиториях

Российское решение композиционного анализа программных продуктов CodeScoring является единственным специализированным и комплексным решением анализа Open Source на российском рынке. Решение предлагает средства идентификации рисков в части безопасности компонентной базы разрабатываемых ИТ-решений.

В CodeScoring SCA появилась новая функция — OSS Firewall. CodeScoring OSS Firewall блокирует сторонние компоненты в прокси-репозиториях (например, для Nexus Repository Manager, NXRM) согласно настроенным политикам, что обеспечивает защиту создаваемых программных продуктов от включения в них уязвимых и небезопасных сторонних открытых компонентов.

Важно отметить, что проверка правил блокировки в CodeScoring происходит при любой попытке использовать артефакт, в том числе обеспечивается запрет на прямое скачивание заблокированного компонента через веб-интерфейс хранилища артефактов и дальнейшего использования в контуре разработки.

"Ушедшие с рынка инструментов безопасной разработки западные вендоры оставили российский рынок без инструментов контроля цепочки поставки ПО. Мы рады предложить качественную альтернативу", – Алексей Смирнов, основатель CodeScoring.

С функцией OSS Firewall решение CodeScoring обеспечивает безопасность использования Open Source на всех этапах разработки программного обеспечения: от защиты периметра кодовой базы и безопасности сборок в CI-конвейере, до функции непрерывного мониторинга кода на появление новых уязвимостей в используемых компонентах.

"Очень долгожданный функционал! Пожалуй, самый популярный вопрос, когда разговариваешь с заказчиками о SCA: "А есть ли у решения X функционал Firewall?" Его использование позволяет с большей вероятностью реализовать концепт "чистой комнаты", когда можно контролировать в том числе то, что попадает в используемый репозиторий с Open Source зависимостями. Такой подход соответствует столь любимому в ИБ-кругу принципу "эшелонирования", когда можно идентифицировать ИБ-дефекты на различных этапах жизненного цикла ПО: при загрузке компоненты и/или в процессе ее использования. Мы получили позитивные впечатления после тестирования Firewall в нашей лаборатории: все работает и настраивается достаточно просто. Хотя у нас уже есть пара просьб по доработке, но это больше по удобству использования. Надеемся и верим, что продукт будет развиваться дальше и радовать новым функционалом", — добавил Антон Гаврилов, руководитель направления DevSecOps центра информационной безопасности компании "Инфосистемы Джет".

"Новая функциональность OSS Firewall проходит апробацию в крупнейших банках России и подойдет всем организациям поддерживающим практику безопасного цикла разработки программного обеспечения (SSDLC): банкам, IT-компаниям, телеком операторам и другим организациям, для которых важны вопросы кибербезопасности и качества собственных продуктов", – Дарья Орешкина, директор по развитию бизнеса "Web Control".

CodeScoring является уникальным российским продуктом (запись в едином реестре ПО №13008) обеспечения комплексной безопасности разработки в отношении Open Source компонентов.