| Разработчики: | CodeScoring (Профископ) ранее Profiscope |
| Дата премьеры системы: | 2021/01 |
| Дата последнего релиза: | 2025/12/16 |
| Отрасли: | Информационные технологии, Информационная безопасность |
| Технологии: | Средства разработки приложений |
Содержание |
CodeScoring — российская платформа безопасной разработки программного обеспечения. Устанавливается в инфраструктуре заказчика, интегрируется с популярными инструментами разработки и развертывания ПО и поддерживает все ключевые языки программирования. Регистрационный номер в реестре российского ПО Министерства цифрового развития РФ: 13008.
CodeScoring — один из лидеров рынка, первое решение на российском рынке для безопасной работы с open source компонентами. CodeScoring успешно используют компании в различных отраслях: финтех, промышленность, телекоммуникации и медиа, крупнейшие ритейлеры, ИТ-компании и др. Среди клиентов — OZON, «Газпром нефть», «Ростелеком», «билайн», «Дикси» и другие (по информации на декабрь 2025 г.).
Модули CodeScoring
Решение состоит из четырех модулей:
Композиционный анализ: CodeScoring.SCA автоматически отслеживает безопасность применения сторонних компонентов на всех этапах цикла разработки ПО и позволяет своевременно узнавать о проблемах и выстраивать эффективную работу AppSec и R&D.
Включает в себя инвентаризацию кодовой базы; выявление и анализ эксплуатируемости (достижимости) уязвимостей; составление SBoM и графа зависимостей; IDE-плагины; интеграцию проверок в CI-конвейер с блокирующими политиками безопасности и лицензионной чистоты; анализ пакетов разработки, системных пакетов, образов, артефактов сборки и архивов.
Защита цепочки поставки: CodeScoring.OSA помогает заблокировать вредоносные или особо уязвимые open source компоненты и не пропустить их в контур разработки.
Анализ качества кода CodeScoring.TQI (Teams & Quality Intelligence) позволяет увидеть, как качество кода связано с вкладом отдельных разработчиков и составом команды. TQI строит профили участников разработки, помогает выявлять зоны риска, где качество падает или растет технический долг, поддерживает сценарии внутреннего рекрутинга и оценки компетенций.
CodeScoring.Secrets – решение для поиска конфиденциальной информации в исходном коде.
Модуль автоматически идентифицирует секреты – пароли, ключи, токены, учетные записи и другие чувствительные данные, связывая каждую находку с конкретным проектом и автором коммита.
Собственная модель машинного обучения значительно снижает долю ложноположительных срабатываний, позволяя размечать находки как True/False Positive и таким образом дообучать модель. TAdviser Security 100: Крупнейшие ИБ-компании в России + 100 претендентов 
(данные на декабрь 2025 г.)
2026
Совместимость с Deckhouse Kubernetes Platform
«Флант» и CodeScoring завершили проверку технологической совместимости Deckhouse Kubernetes Platform (DKP) и платформы безопасной разработки CodeScoring. Об этом «Флант» сообщил 22 января 2026 года. Подробнее здесь.
Интеграция с «Сфера.Дистрибутивы и Лицензии»
Команды платформы производства ПО «Сфера» (вендор НОТА, входит в ИТ-холдинг Т1) и платформы безопасной разработки ПО «CodeScoring» 16 января 2026 года объявили о стратегическом партнерстве, которое направлено на повышение прозрачности и безопасности цепочек поставок ПО. Подробнее здесь.
2025
Добавление защиты цепочки поставок ПО без привязки к хранилищам артефактов
На платформе CodeScoring представлена OSA Proxy — защита цепочки поставок ПО без привязки к хранилищам артефактов. Об этом компания Profiscope (Профископ) сообщила 16 декабря 2025 года.
Данный сервис позволяет контролировать безопасность компонентов до их попадания в корпоративную инфраструктуру. В модуле CodeScoring.OSA появился сервис OSA Proxy для автоматического сканирования сторонних open source-компонентов и блокировки небезопасных пакетов при загрузке из внешних пакетных индексов.
OSA Proxy переносит композиционный анализ на самый ранний этап разработки — момент установки пакетов. Это особенно важно в условиях роста атак через цепочку поставок. Чем раньше опасный компонент будет выявлен и заблокирован, тем меньше рисков и затрат для команды разработки и для всей организации.
OSA Proxy перехватывает запросы пакетных менеджеров к внешним индексам (Maven Central, NPM, PyPI, NuGet), проверяет компоненты на соответствие политикам безопасности и может блокировать уязвимые версии ещё до их попадания в корпоративную инфраструктуру. Это особенно ценно для компаний, которым критически важна независимость от западных решений и где выпуск безопасного ПО является приоритетом.
Ключевое качество решения — работа без привязки к хранилищам артефактов: сервис эффективен вне зависимости от конкретных решений и может работать в различных сценариях. OSA Proxy поддерживает как распространенные, так и нестандартные и специфические хранилища артефактов, и может работать совсем без хранилищ.
В отличие от локальных решений с плагинами сервис обеспечивает централизованный подход к управлению безопасностью пакетов на уровне всей инфраструктуры.
 | автор Алексей Смирнов, основатель платформы безопасной разработки CodeScoring: «OSA Proxy решает критическую задачу для российских организаций. Это особенно важно сейчас, когда компании ищут гибкие решения для контроля безопасности open source компонентов без изменения собственных процессов или инфраструктуры. OSA Proxy работает с любыми хранилищами или вообще без них, что расширяет возможности внедрения для организаций разного уровня, |  |
Технические детали:
- Поддержка основных пакетных индексов: Maven Central (Java), NPM (JavaScript), PyPI (Python), NuGet (.NET), Go Modules (Go), Debian Packages (Debian), а также альтернативных репозиториев, совместимых с официальными спецификациями.
- OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры.
- Сканирование как на уровне манифестов зависимостей, так и отдельных пакетов
- Гибкие режимы работы: от мониторинга (режим наблюдателя) до активной блокировки небезопасных компонентов. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.
- Автоматическая фильтрация небезопасных версий. Сервис модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов.
В основе работы сервиса — асинхронная модель обработки и механизм автоматических повторов при временных ошибках, что обеспечивает стабильную работу даже при высоких нагрузках или кратковременных сбоях. OSA Proxy доступен всем пользователям модуля CodeScoring.OSA.
Анализ достижимости уязвимостей
В платформе CodeScoring появился анализ достижимости уязвимостей с учетом транзитивных зависимостей. Об этом Profiscope (Профископ) сообщила 4 декабря 2025 года. Эта функция показывает реальную эксплуатируемость обнаруженной уязвимости, т.е. помогает определить, можно ли на самом деле использовать найденные в коде уязвимости через существующие вызовы. Используемые в разработке Open source библиотеки могут привносить десятки и сотни известных уязвимостей, которые могут быть эксплуатированы злоумышленниками. Анализ всех уязвимостей подряд трудозатратен, поэтому важно ранжировать обнаруженные проблемы по степени риска, в том числе благодаря анализу достижимости. Такой подход помогает сосредоточиться в первую очередь на реальных угрозах, приоритизировать исправления и на порядок сократить потенциальные затраты на разбор находок.
Композиционный анализ с достижимостью уже можно провести в проектах на языках Java, Go и Python, идет работа над добавлением в модуль CodeScoring.SCA анализа проектов на других языках программирования: JavaScript, C#, PHP и Kotlin.
Команда CodeScoring в сотрудничестве со специалистами научно-технического центра «Фобос-НТ» и кафедры ИУ10 «Защита информации» МГТУ Н.Э. Баумана изучила открытые репозитории с исходным кодом проектов на Java, Python, JavaScript, Go, Kotlin, C#, PHP, выделила характерные для каждой уязвимости вызовы и собрала собственную базу знаний, которая регулярно пополняется. Такая разметка уязвимых методов позволяет достигать высокой точности анализа достижимости и снижать количество ложноположительных срабатываний. На декабрь 2025 года в базе размечено более 10 000 известных уязвимостей.
Технологическая основа проекта — построение графа вызовов с использованием технологий анализа Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН).
| | Граф вызовов программы выявляет связи ее методов между собой. Точное построение такого графа — нетривиальная задача, которая требует глубокого анализа кода на основе фундаментальных научных технологий. В их число входят анализы указателей и виртуальных методов, широко использующихся в современных языках программирования. А для компилируемых языков необходима технология перехвата сборки. Все эти методы анализа мы развиваем в рамках статического анализатора Svace, поэтому наши специалисты смогли в сжатые сроки доработать их и выделить как отдельный компонент для использования в CodeScoring.SCA. Мы рады, что с выходом этой совместной технологии наше сотрудничество с давними друзьями из CodeScoring вышло на новый уровень, сказал Арутюн Аветисян, академик РАН, директор ИСП РАН.
| |
| | В работе испытательной лаборатории мы используем инструмент статического анализа Svace с 2019 года и инструмент композиционного анализа CodeScoring с 2023 года. Совместная работа этих движков — на наш взгляд, лучших инструментов в своем классе на отечественном рынке — долгожданное событие, поскольку в ряде случаев поможет существенно сократить сложность доказательного процесса в части эксплуатируемости или неэксплуатируемости известных уязвимостей компонентов в составе программных продуктов,
отметил Дмитрий Пономарев, заместитель генерального директора, директор департамента РБПО НТЦ «Фобос-НТ».
| |
Алгоритм работает следующим образом: сначала на основе исходного кода проекта строится граф вызовов функций проекта, далее происходит сверка с базой знаний. Для каждой известной уязвимости система знает характерные шаблоны эксплуатации — то, как ее могут использовать в реальных атаках. По итогам анализа пользователь получает информацию по найденным достижимым уязвимостям с цепочками вызовов для каждой.
| | В ходе пилотных испытаний данной функции анализа достижимости уязвимостей сотрудниками Т1 Иннотех была проведена оценка её эффективности. Ключевой фактор в данном случае – точность результатов. Для подтверждения точности была проведена ручная проверка, в ходе которой удалось установить, что заявленная функция корректно идентифицирует как достижимые, так и недостижимые уязвимости, обеспечивая высокую достоверность результатов.
Можно с уверенностью утверждать, что автоматизированный анализ отражает реальное положение дел и может служить основой для принятия решений по устранению уязвимостей. Функция проверки достижимости уязвимостей позволяет не только автоматизировать приоритизацию уязвимостей с учетом фактической достижимости, но и значительно сократить объем ручного анализа, что актуально в условиях нехватки ресурсов. Это делает функцию ценным инструментом повышения эффективности и точности работы по обеспечению безопасности программных продуктов, отметил Максим Щедрин, начальник управления тестирования безопасности «Т1 Иннотех».
| |
Анализ достижимости доступен в модуле CodeScoring.SCA с версии 2025.37.0. Результаты анализа отображаются в интерфейсе платформы и отчетах, удобных для выгрузки. Данная функция призвана повысить эффективность работы DevSecOps-команд и снизить нагрузку на команды безопасности.
Некоторые уязвимости могут быть актуальными и без достижимых вызовов, поэтому все выявленные угрозы стоит верифицировать и устранять в соответствии со степенью их критичности.
| | Знать все сторонние компоненты и их риски в вашем продукте недостаточно. Этим знанием важно эффективно управлять для построения качественного процесса безопасной разработки. Выявленная достижимость известной уязвимости — повышенный риск для продукта, т. к. информация о методах эксплуатации с большой вероятностью уже находится в публичном доступе и ей может воспользоваться каждый. Реализация такого вида анализа — наукоёмкая и кропотливая задача, решение которой стало возможным благодаря нашим технологическим партнерам, отметил Алексей Смирнов, основатель платформы безопасной разработки CodeScoring.
| |
2024: Интеграция с GitFlic
Компания «РеСолют» (входит в «Группу Астра») 28 августа 2024 года сообщила об успешном тестировании на совместимость GitFlic с решением для сканирования безопасности кода CodeScoring, которая значительно улучшит процесс обеспечения безопасной разработки программного обеспечения (РБПО). Подробнее здесь.
2023
Интеграция с Kaspersky Open Source Software Threats Data Feed
«Лаборатория Касперского» и компания Profiscope заявили об интеграции: сервис данных об уязвимостях Kaspersky Open Source Software Threats Data Feed теперь доступен пользователям CodeScoring. Об этом Web Control (Вэб Контрол ДК) сообщил 18 октября 2023 года. Подробнее здесь.
О продукте CodeScoring
CodeScoring автоматизирует проверку компонентов с открытым исходным кодом и предоставляет разработчикам результаты анализа.
CodeScoring — российское OSA/SCA-решение, которое обеспечивает безопасность использования Open Source-компонентов и защиту цепочки поставки на всех этапах жизненного цикла ПО. Решение позволяет собирать и управлять информацией об используемых компонентах с открытым исходным кодом и отслеживать риски безопасности, а также лицензионные и операционные риски в соответствии с настроенными политиками (по информации на октябрь 2023 г.).
Подрядчики-лидеры по количеству проектов
Солар (Solar) (47) Финансовые Информационные Системы (ФИС, FIS, Финсофт) (15) Форсайт (13) Unlimited Production (Анлимитед Продакшен, eXpress) (12) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (11) Другие (433) Солар (Solar) (6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (4) Unlimited Production (Анлимитед Продакшен, eXpress) (4) РЖД-Технологии (3) Robin (Робин) (3) Другие (23) Unlimited Production (Анлимитед Продакшен, eXpress) (5) Солар (Solar) (4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (2) Axiom JDK (Аксиом) (2) Наносемантика (Nanosemantics Lab) (1) Другие (13)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Солар (Solar) (2, 49) Microsoft (41, 47) Oracle (49, 26) Hyperledger (Open Ledger Project) (1, 23) IBM (33, 18) Другие (666, 359) Солар (Solar) (1, 6) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 6) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Мобильные ТелеСистемы (МТС) (1, 4) SL Soft (СЛ Софт) (1, 3) Другие (15, 24) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 5) Солар (Solar) (1, 4) Мобильные ТелеСистемы (МТС) (2, 3) Axiom JDK (Аксиом) (2, 2) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 2) Другие (13, 13) Мобильные ТелеСистемы (МТС) (1, 4) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 4) Python Software Foundation (1, 3) Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3) Яндекс (Yandex) (1, 3) Другие (19, 25) Мобильные ТелеСистемы (МТС) (1, 1) Уральский центр систем безопасности (УЦСБ) (1, 1) МТС Exolve (Межрегиональный ТранзитТелеком, МТТ) (1, 1) Другие (0, 0)Распределение систем по количеству проектов, не включая партнерские решения
Solar appScreener (ранее Solar inCode) - 49 Hyperledger Fabric - 23 Windows Azure - 20 EXpress Защищенный корпоративный мессенджер - 16 FIS Platform - 16 Другие 364 Solar appScreener (ранее Solar inCode) - 6 EXpress Защищенный корпоративный мессенджер - 6 МТС Exolve - 4 Форсайт. Мобильная платформа (ранее HyperHive) - 3 РЖД и Робин: Облачная фабрика программных роботов - 3 Другие 14 EXpress Защищенный корпоративный мессенджер - 5 Solar appScreener (ранее Solar inCode) - 4 МТС Exolve - 2 Axiom JDK (ранее Liberica JDK до 2022) - 2 МТС: Ocean Облачная платформа - 1 Другие 13 МТС Exolve - 4 Python - 3 Yandex AI Studio - 3 EXpress Защищенный корпоративный мессенджер - 3 Guardant SLK - 2 Другие 18 
