Profiscope: CodeScoring

CodeScoring автоматизирует проверку компонентов с открытым исходным кодом и предоставляет разработчикам результаты анализа.

CodeScoring — российское OSA/SCA-решение, которое обеспечивает безопасность использования Open Source-компонентов и защиту цепочки поставки на всех этапах жизненного цикла ПО. Решение позволяет собирать и управлять информацией об используемых компонентах с открытым исходным кодом и отслеживать риски безопасности, а также лицензионные и операционные риски в соответствии с настроенными политиками.

2025

Добавление защиты цепочки поставок ПО без привязки к хранилищам артефактов

На платформе CodeScoring представлена OSA Proxy — защита цепочки поставок ПО без привязки к хранилищам артефактов. Об этом компания Profiscope (Профископ) сообщила 16 декабря 2025 года.

Данный сервис позволяет контролировать безопасность компонентов до их попадания в корпоративную инфраструктуру. В модуле CodeScoring.OSA появился сервис OSA Proxy для автоматического сканирования сторонних open source-компонентов и блокировки небезопасных пакетов при загрузке из внешних пакетных индексов. Как СИБУР импортозамещает ПО. Подходы и стратегии представлены на TAdviser SummIT 38.2 т

OSA Proxy переносит композиционный анализ на самый ранний этап разработки — момент установки пакетов. Это особенно важно в условиях роста атак через цепочку поставок. Чем раньше опасный компонент будет выявлен и заблокирован, тем меньше рисков и затрат для команды разработки и для всей организации.

OSA Proxy перехватывает запросы пакетных менеджеров к внешним индексам (Maven Central, NPM, PyPI, NuGet), проверяет компоненты на соответствие политикам безопасности и может блокировать уязвимые версии ещё до их попадания в корпоративную инфраструктуру. Это особенно ценно для компаний, которым критически важна независимость от западных решений и где выпуск безопасного ПО является приоритетом.

Ключевое качество решения — работа без привязки к хранилищам артефактов: сервис эффективен вне зависимости от конкретных решений и может работать в различных сценариях. OSA Proxy поддерживает как распространенные, так и нестандартные и специфические хранилища артефактов, и может работать совсем без хранилищ.

В отличие от локальных решений с плагинами сервис обеспечивает централизованный подход к управлению безопасностью пакетов на уровне всей инфраструктуры.

автор Алексей Смирнов, основатель платформы безопасной разработки CodeScoring: «OSA Proxy решает критическую задачу для российских организаций. Это особенно важно сейчас, когда компании ищут гибкие решения для контроля безопасности open source компонентов без изменения собственных процессов или инфраструктуры. OSA Proxy работает с любыми хранилищами или вообще без них, что расширяет возможности внедрения для организаций разного уровня,

Технические детали:

• Поддержка основных пакетных индексов: Maven Central (Java), NPM (JavaScript), PyPI (Python), NuGet (.NET), Go Modules (Go), Debian Packages (Debian), а также альтернативных репозиториев, совместимых с официальными спецификациями.
• OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры.
• Сканирование как на уровне манифестов зависимостей, так и отдельных пакетов
• Гибкие режимы работы: от мониторинга (режим наблюдателя) до активной блокировки небезопасных компонентов. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.
• Автоматическая фильтрация небезопасных версий. Сервис модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов.

В основе работы сервиса — асинхронная модель обработки и механизм автоматических повторов при временных ошибках, что обеспечивает стабильную работу даже при высоких нагрузках или кратковременных сбоях. OSA Proxy доступен всем пользователям модуля CodeScoring.OSA. ​

Анализ достижимости уязвимостей

В платформе CodeScoring появился анализ достижимости уязвимостей с учетом транзитивных зависимостей. Об этом Profiscope (Профископ) сообщила 4 декабря 2025 года. Эта функция показывает реальную эксплуатируемость обнаруженной уязвимости, т.е. помогает определить, можно ли на самом деле использовать найденные в коде уязвимости через существующие вызовы. Используемые в разработке Open source библиотеки могут привносить десятки и сотни известных уязвимостей, которые могут быть эксплуатированы злоумышленниками. Анализ всех уязвимостей подряд трудозатратен, поэтому важно ранжировать обнаруженные проблемы по степени риска, в том числе благодаря анализу достижимости. Такой подход помогает сосредоточиться в первую очередь на реальных угрозах, приоритизировать исправления и на порядок сократить потенциальные затраты на разбор находок.

Композиционный анализ с достижимостью уже можно провести в проектах на языках Java, Go и Python, идет работа над добавлением в модуль CodeScoring.SCA анализа проектов на других языках программирования: JavaScript, C#, PHP и Kotlin.

Команда CodeScoring в сотрудничестве со специалистами научно-технического центра «Фобос-НТ» и кафедры ИУ10 «Защита информации» МГТУ Н.Э. Баумана изучила открытые репозитории с исходным кодом проектов на Java, Python, JavaScript, Go, Kotlin, C#, PHP, выделила характерные для каждой уязвимости вызовы и собрала собственную базу знаний, которая регулярно пополняется. Такая разметка уязвимых методов позволяет достигать высокой точности анализа достижимости и снижать количество ложноположительных срабатываний. На декабрь 2025 года в базе размечено более 10 000 известных уязвимостей.

Технологическая основа проекта — построение графа вызовов с использованием технологий анализа Института системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН).

Граф вызовов программы выявляет связи ее методов между собой. Точное построение такого графа — нетривиальная задача, которая требует глубокого анализа кода на основе фундаментальных научных технологий. В их число входят анализы указателей и виртуальных методов, широко использующихся в современных языках программирования. А для компилируемых языков необходима технология перехвата сборки. Все эти методы анализа мы развиваем в рамках статического анализатора Svace, поэтому наши специалисты смогли в сжатые сроки доработать их и выделить как отдельный компонент для использования в CodeScoring.SCA. Мы рады, что с выходом этой совместной технологии наше сотрудничество с давними друзьями из CodeScoring вышло на новый уровень, сказал Арутюн Аветисян, академик РАН, директор ИСП РАН.

В работе испытательной лаборатории мы используем инструмент статического анализа Svace с 2019 года и инструмент композиционного анализа CodeScoring с 2023 года. Совместная работа этих движков — на наш взгляд, лучших инструментов в своем классе на отечественном рынке — долгожданное событие, поскольку в ряде случаев поможет существенно сократить сложность доказательного процесса в части эксплуатируемости или неэксплуатируемости известных уязвимостей компонентов в составе программных продуктов, отметил Дмитрий Пономарев, заместитель генерального директора, директор департамента РБПО НТЦ «Фобос-НТ».

Алгоритм работает следующим образом: сначала на основе исходного кода проекта строится граф вызовов функций проекта, далее происходит сверка с базой знаний. Для каждой известной уязвимости система знает характерные шаблоны эксплуатации — то, как ее могут использовать в реальных атаках. По итогам анализа пользователь получает информацию по найденным достижимым уязвимостям с цепочками вызовов для каждой.

В ходе пилотных испытаний данной функции анализа достижимости уязвимостей сотрудниками Т1 Иннотех была проведена оценка её эффективности. Ключевой фактор в данном случае – точность результатов. Для подтверждения точности была проведена ручная проверка, в ходе которой удалось установить, что заявленная функция корректно идентифицирует как достижимые, так и недостижимые уязвимости, обеспечивая высокую достоверность результатов. Можно с уверенностью утверждать, что автоматизированный анализ отражает реальное положение дел и может служить основой для принятия решений по устранению уязвимостей. Функция проверки достижимости уязвимостей позволяет не только автоматизировать приоритизацию уязвимостей с учетом фактической достижимости, но и значительно сократить объем ручного анализа, что актуально в условиях нехватки ресурсов. Это делает функцию ценным инструментом повышения эффективности и точности работы по обеспечению безопасности программных продуктов, отметил Максим Щедрин, начальник управления тестирования безопасности «Т1 Иннотех».

Анализ достижимости доступен в модуле CodeScoring.SCA с версии 2025.37.0. Результаты анализа отображаются в интерфейсе платформы и отчетах, удобных для выгрузки. Данная функция призвана повысить эффективность работы DevSecOps-команд и снизить нагрузку на команды безопасности.

Некоторые уязвимости могут быть актуальными и без достижимых вызовов, поэтому все выявленные угрозы стоит верифицировать и устранять в соответствии со степенью их критичности.

Знать все сторонние компоненты и их риски в вашем продукте недостаточно. Этим знанием важно эффективно управлять для построения качественного процесса безопасной разработки. Выявленная достижимость известной уязвимости — повышенный риск для продукта, т. к. информация о методах эксплуатации с большой вероятностью уже находится в публичном доступе и ей может воспользоваться каждый. Реализация такого вида анализа — наукоёмкая и кропотливая задача, решение которой стало возможным благодаря нашим технологическим партнерам, отметил Алексей Смирнов, основатель платформы безопасной разработки CodeScoring.

2024: Интеграция с GitFlic

Компания «РеСолют» (входит в «Группу Астра») 28 августа 2024 года сообщила об успешном тестировании на совместимость GitFlic с решением для сканирования безопасности кода CodeScoring, которая значительно улучшит процесс обеспечения безопасной разработки программного обеспечения (РБПО). Подробнее здесь.

2023: Интеграция с Kaspersky Open Source Software Threats Data Feed

«Лаборатория Касперского» и компания Profiscope заявили об интеграции: сервис данных об уязвимостях Kaspersky Open Source Software Threats Data Feed теперь доступен пользователям CodeScoring. Об этом Web Control (Вэб Контрол ДК) сообщил 18 октября 2023 года. Подробнее здесь.