Каталог
совместимости российского программного обеспечения

Российское решение композиционного анализа программного обеспечения. Продукт сосредоточен на безопасной работе с Open Source кодом: автообнаружение зависимостей, поиск уязвимостей в Open Source, проверка совместимости Open Source лицензий, оценка качества кода.

Решение CodeScoring основано на многолетнем опыте компании Profiscope по анализу исходных кодов с использованием собственных средств автоматизированного технического аудита ПО. Продукт сосредоточен на безопасной работе с Open Source кодом и включает следующий ключевой функционал:

• Автообнаружение зависимостей — анализируем состав кода, автоматически находим файлы манифестов пакетных менеджеров, выявляем прямые и транзитивные зависимости от открытого программного обеспечения (OSS). На основе этих данных генерируем Software Bill of Materials (SBoM).
• Поиск уязвимостей в Open Source — находим уязвимости по надёжным, популярным базам (NVD NIST, GitHub Advisories и т. п.). Предоставляем полную информацию и показываем рекомендации по устранению.
• Проверка совместимости Open Source лицензий — выявляем лицензии обнаруженных OSS зависимостей. Проверяем их совместимость между собой. Отслеживаем соблюдение лицензионных политик организации.
• Оценка качества исходного кода.

Решение поддерживает ключевые OSS экосистемы популярных языков программирования, такие как Maven, PyPi, NPM, RubyGems и другие.

CodeScoring умеет интегрироваться с основными известными репозиториями кода: GitHub, GitLab, BitBucket, Azure DevOps. Для полноценной работы в CI/CD пайплайне предусмотрены API и возможность интеграции через консольного агента. Для крупных клиентов доступна установка системы в закрытом контуре (On-premise).