CodeScoring

Номер в Едином Реестре российского ПО: 13008 Дата решения: 05.03.2022 Поручение Минцифры России от 05.03.2022 б/н
Российское решение композиционного анализа программного обеспечения. Продукт сосредоточен на безопасной работе с Open Source кодом: автообнаружение зависимостей, поиск уязвимостей в Open Source, проверка совместимости Open Source лицензий, оценка качества кода.

Решение CodeScoring основано на многолетнем опыте компании Profiscope по анализу исходных кодов с использованием собственных средств автоматизированного технического аудита ПО. Продукт сосредоточен на безопасной работе с Open Source кодом и включает следующий ключевой функционал:

  • Автообнаружение зависимостей — анализируем состав кода, автоматически находим файлы манифестов пакетных менеджеров, выявляем прямые и транзитивные зависимости от открытого программного обеспечения (OSS). На основе этих данных генерируем Software Bill of Materials (SBoM).
  • Поиск уязвимостей в Open Source — находим уязвимости по надёжным, популярным базам (NVD NIST, GitHub Advisories и т. п.). Предоставляем полную информацию и показываем рекомендации по устранению.
  • Проверка совместимости Open Source лицензий — выявляем лицензии обнаруженных OSS зависимостей. Проверяем их совместимость между собой. Отслеживаем соблюдение лицензионных политик организации.
  • Оценка качества исходного кода.


Решение поддерживает ключевые OSS экосистемы популярных языков программирования, такие как Maven, PyPi, NPM, RubyGems и другие.

CodeScoring умеет интегрироваться с основными известными репозиториями кода: GitHub, GitLab, BitBucket, Azure DevOps. Для полноценной работы в CI/CD пайплайне предусмотрены API и возможность интеграции через консольного агента. Для крупных клиентов доступна установка системы в закрытом контуре (On-premise).


Заменяет иностранные продукты:

  • Black Duck
  • Checkmarx SCA
  • JFrog Xray
  • Snyk Open Source
  • Sonatype Nexus IQ
  • Veracode Software Composition Analysis
  • WhiteSource