Changelog
Codescoring On-premise
[2024.17.1] – 2024-04-23
Добавлена возможность указывать тип OSA компонента, для которого будет применяться политика
Добавлен раздел Group mapping для настройки LDAP групп
Добавлен маппинг LDAP групп на внутренние группы CodeScoring
Добавлены ссылки на уязвимости и лицензии в поле Matched criteria раздела Policy Alerts
Добавлен поиск в условие политики по полю Technology
Добавлено поле Matched criteria в таблицу Policy Alerts на странице проекта
Возвращено отображение иконки загрузки SBOM
Колонки License и Vulnerability в таблицах Policy Alerts теперь скрыты по умолчанию
Ускорена загрузка раздела Components -> Requests
Улучшена периодическая очистка запросов OSA из базы данных
Исправлен редирект при удалении пользователя
Исправлено формирование Dependency Name из PURL
[2024.15.0] - 2024-04-09
Добавлена возможность настройки нескольких LDAP интеграций
Добавлен вывод Matched criteria в разделе Container images
Добавлены колонки и фильтры Scan schedule, Scan with hashes в раздел Projects
Добавлены колонки и фильтры Scan schedule, Excluded from analysis в раздел Settings -> Projects
Добавлена в Audit Log информация о предыдущем уровне доступа пользователя
Добавлена поддержка нестандартных портов для SSH при добавлении VCS
Добавлен процент схожести между авторами в разделе Authors
Реализована периодическая очистка запросов OSA в базе данных
Возвращена стадия политики dev
в настройки проекта
[2024.13.0] – 2024-03-27
Исправлен повторный запуск периодических задач в очереди
Исправлено длительное ожидание ответа от Index API в случае прерывания соединения
[2024.12.0] – 2024-03-22
Добавлен раздел Components, включающий в себя списки компонентов и запросов OSA
Добавлено поле Vulnerabilities в CSV-отчет по проектам
Добавлена метрика pool_used для просмотра занятых соединений из пула
Оптимизирован запуск анализа и выгрузка SBoM CLI проекта
Исправлено игнорирование флага load full images list при создании или обновлении Registry
Исправлено отображение количества активных политик в разделе Dashboard
Исправлено отсутствие вариантов для политики по CVSS2 Authentication
Исправлена ошибка при вычислении Policy Alerts политики с условием CVSS Score
[2024.11.0] – 2024-03-18
Добавлена информация о пакете в секции Policy alerts и Vulnerabilities на странице заблокированного в OSA образа
Добавлен фильтр Group в разделе Vulnerabilities
Переименован признак политики Blocks build в Blocker
Оптимизирован анализ CLI проектов в ситуации, когда зависимости анализируемого проекта часто встречаются в других проектах
Ускорена загрузка информации о похожих авторах
Исправлено отображение связей на одном уровне в графе зависимостей проекта
[2024.10.0] – 2024-03-06
Исправлено исчезновение кнопки выгрузки HTML для графиков
Изменено форматирование сообщений коммитов в таблице коммитов проекта
Исправлено отображение метрик на страницах проектов, для которых анализ не проводился
Исправлена доступность скачивания PDF-отчета и SBOM в зависимости от статуса анализа проекта
[2024.9.1] – 2024-02-29
Исправлена нечувствительность к регистру при создании пользователей из LDAP
[2024.9.0] – 2024-02-28
Добавлено отображение статуса анализа в истории для проектов и образов
Добавлено отображение сообщений коммитов в проектах за прошлые периоды на странице TQI
Расширены метрики SCA на странице проекта
Исправлено поведение при загрузке и сканировании образов без тегов
Исправлено обновление информации о Container registry после сохранения изменений
Исправлена невозможность просмотра коммитов проекта за последнюю неделю
Исправлено отображение метрик на страницах проектов, для которых анализ не проводился
Исправлена интеграция с LDAP
Уменьшен таймаут при проверке доступности Registry
[2024.8.0] – 2024-02-22
Исправлен запуск общего анализа клонов
Исправлено отображение путей до файлов внутри клонов
Исправлены переходы на списки клонов с карты клонов
Исправлено отображение автора при отсутствии поля email
Исправлено отображение скрытых колонок в таблицах
Исправлено отображение переменной block_status
в списке раздела Container Images
Исправлено обновление списка образов при наличии в registry образов без указания платформы
Убрано пустое значение при выборе в фильтрах
Убран автоматический перезапуск сканирования по расписанию в случае падения
[2024.7.0] – 2024-02-16
Добавлены уязвимости из БДУ ФСТЭК
Реализована cтраница для вывода информации о заблокированной в OSA компоненте
Реализован запуск анализа авторов по одному проекту
Реализован запуск анализа клонов по одному проекту
Добавлена таблица коммитов на вкладке TQI страницы проекта
Исправлен фильтр по уязвимостям в разделе Policy Alerts
Исправлен переход на страницу политики из раздела Dashboard
[2024.5.0] – 2024-02-02
Обновлен UI системы
Добавлены новые метрики SCA на странице проекта
Добавлено условие политики на соответствие PURL регулярному выражению
Добавлено условие политики на поиск текстовой строки в PURL
Добавлена проверка на скрытые символы при вводе активационного ключа
Исправлен фильтр по технологиям в разделе Projects
Исправлен вывод технологий для CLI проектов в разделе Projects
Оптимизирован механизм перерасчета политик
Уточнены сообщения об ошибках соединения с GitLab
Изменена ориентация раздела Vulnerabilities в PDF отчете по проекту
[2024.2.0] – 2024-01-12
Добавлена информация про архитектуру сканируемых образов
Добавлен фильтр Group на странице проектов
Добавлена поддержка спецификации CycloneDX 1.5 при импорте SBOM
Добавлены новые статусы блокировки компонентов OSA
Улучшена производительность OSA
Ускорена загрузка Complexity map в разделе Projects
Убраны сканирования, зависшие в статусе in progress
Исправлен экспорт отчета в PDF при активном сканировании проекта и для CLI проектов
[2023.49.0] – 2023-12-08
Добавлена возможность экспорта PDF-отчета с результатами сканирования проекта
Добавлена поддержка анализа зависимостей Rust через манифесты Cargo
Добавлена возможность клонирования репозитория через SSH
Добавлен новый тип VCS "Other Git"
Добавлено отображение количества найденных уязвимостей в списке раздела Projects
Добавлен поиск по вложенным (имеющим записи в разных фидах) уязвимостям в разделе Vulnerabilities
Добавлена настройка отображения ID проекта в разделе Settings -> Projects
Добавлены нулевые значения в Prometheus метрики OSA API
Автоматическое проведение анализа после клонирования VCS проекта стало опциональным
Исправлена ошибка при сортировке таблицы по полю CVSS3 Attack Complexity в разделе Vulnerabilities
Исправлена некорректная работа OSA с пакетами, имеющими верхний регистр в версии
[2023.48.0] – 2023-11-22
Уменьшен размер поставляемых Docker-образов CodeScoring
Добавлен параметр Matched criteria с причиной сработавшей политики в раздел Policy alerts
Добавлен новый тип Container registries "Other"
Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API
Добавлены Prometheus метрики по статусу сканирования и статусу блокировки компонента в OSA
Добавлено скрытие пароля и токена в настройках подключения к Jira
Убраны дубликаты уязвимостей в SBOM, имеющие разные затронутые версии
Удален устаревший endpoint API /integration_api/v1/
Ускорена работа анализа при большом количестве Policy ignores
Исправлена ошибка UnsafeOption при работе с Azure и Bitbucket
Исправлен вывод доступных значений для фильтра Container images в разделе Policy alerts
Исправлен поиск по зависимости в разделе Policy alerts
Исправлено отображение фильтра CWE в разделе Vulnerabilities
[2023.44.0] – 2023-10-31
Добавлено сохранение фильтров между вкладками в разделе Policy alerts
Исправлено отображение решенных Policy alerts на странице проекта
[2023.43.0] - 2023-10-27
Добавлена поддержка сканирования proxy Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
Добавлен Digest и тэги на странице контейнерного образа
Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов из контейнерных образов
Добавлены метрики количества и времени запросов для CodeScoring OSA
Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди
Добавлено новое условие политики – возраст уязвимости
Добавлена возможность не загружать автоматически список образов при добавлении Container Registry
Исправлено открытие страницы просмотра Policy Ignore
Исправлено отображение ошибки git 128 при работе с VCS
[2023.41.0] - 2023-10-09
Для запуска CodeScoring теперь не требуется наличие прав суперпользователя внутри контейнера. Инструкция по миграции с root-контейнеров на rootless доступна у вендора
[2023.40.0] - 2023-10-04
Добавлена возможность сканирования образов из hosted Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
Добавлена возможность блокирования загрузки образов из Sonatype Nexus Repository при несоответствии политикам безопасности
[2023.38.0] - 2023-09-20
Добавлена возможность указания спецсимволов в пароле для подключения к базе данных
Исправлена ошибка отображения игнорируемых алертов в разделе Policy Ignores
Исправлено отображение полей Source files и Parents на странице зависимости
Возвращено моментальное удаление алерта из списка Active после создания правила игнорирования
Дополнена схема обновления на актуальную версию продукта.
[2023.35.0] - 2023-08-31
Добавлена история SCA сканирований в проекте
На странице проекта информация модулей SCA и TQI теперь отображается в отдельных вкладках
Добавлено отображение частей CVSS векторов в списке уязвимостей
Добавлено новое условие политики "Vulnerability has fixed version"
Добавлено поле CWE в экспорт CSV-таблицы уязвимостей
Добавлен баннер CodeScoring и логирование версии в консоль при запуске Docker-контейнера с инсталляцией
Добавлены метрики количества запущенных анализов для Prometheus
Удален deprecated endpoint /api/policy_alerts/ignored/
Удален deprecated endpoint /api/policy_alerts/resolved/
Удален deprecated endpoint /api/policy_alerts/
Исправлен вывод технологий на списке Policy ignores
Исправлена работа политики по purl и CVSS для rpm
Убран текст лицензий из генерируемых SBoM по проекту
[2023.31.0] - 2023-08-04
Ускорена работа CodeScoring OSA
[2023.30.0] - 2023-07-27
Добавлена fixed version в таблице Affected dependencies на странице уязвимости
Добавлены метрики состояния очередей для Prometheus
Перенесена версия инсталляции из футера в боковое меню
Исправлено несоответствие Swagger-схемы с API
Убрана возможность нажать кнопку Upload SBOM без наличия прикрепленного файла
[2023.26.0] - 2023-06-30
Добавлена поддержка системных пакетов для OSA-плагина в NXRM
Добавлены новые условия политики - по наличию эксплойта уязвимости и частям CVSS-вектора
Добавлен вывод названия политики, stage и level в список Policy alerts на странице проекта
Добавлен фильтр по типу проекта в списке проектов
Пометили метод /api/dependencies/csv/
как устаревший. Теперь надо использовать /api/dependencies/by_project/csv/
Исправлена ошибка при добавлении проекта без предварительного создания VCS
Исправлено отображение информации о stages на карточке описания политики для уровня доступа User
[2023.24.0] - 2023-06-13
Добавлен фильтр для поиска по названию политик в разделе Policies
Исправлен экспорт зависимостей с пустым фильтром
[2023.22.0] - 2023-06-01
Исправлена загрузка SBOM в формате CycloneDX, полученного от Microsoft.SBOMTool
Исправлена обработка дробного рейтинга уязвимости при формировании SBOM
[2023.21.3] - 2023-05-30
Исправлена загрузка SBOM в формате CycloneDX, полученного с помощью сторонних инструментов
Ускорена загрузка страниц Code Clones
[2023.21.2] - 2023-05-23
Добавлена возможность загрузки и скачивания SBOM по проекту в формате CycloneDX
Добавлена возможность проведения анализа на CLI-проекте через интерфейс
Добавлено ручное обновление кода проекта в настройках
Добавлена возможность подключения нескольких VCS с одним адресом, но разными токенами
Добавлена поддержка basic auth для интеграции с Jira
Исправлен вывод списка лицензий на графике
Исправлено появление дубликатов алертов при большой нагрузке
[2023.15.0] - 2023-04-14
Добавлен новый тип проектов без привязки к репозиторию — CLI
Добавлена группировка Policy alerts в дайджесты для уведомлений через email
Добавлен поиск по названию политики и имени зависимости в Policy alerts
Добавлены рекомендации по устранению уязвимостей (fixed version)
Добавлена поддержка разбора пакетов в форматах deb/apk/rpm
Добавлен вывод предложения обновить страницу, если версия клиента отличается от версии сервера
Добавлены незначительные улучшения в UI
[2023.11.0] - 2023-03-16
Исправлена долгая загрузка графика Distribution by license на Dashboard
Добавлено поле Note к Policy ignore
Добавлено поле Description к Policy
Добавлен новый уровень доступа Auditor
Добавлена настройка времени жизни сессии через переменную окружения
Добавлены ссылки на граф зависимостей
[2023.6.0] - 2023-02-10
Добавлены графы зависимостей проекта (ссылка есть на странице проекта)
Добавлена опция отключения сбора хешей во время SCA на инсталляции
Добавлен кеш ответов Index API для OSA (по-умолчанию от 1 часа до 1.5 часов, настраивается через переменные окружения)
Дополнена информация об ограничениях в использовании OSSIndex
Запуск массового SCA теперь логируется в Audit log
Для Swagger больше не нужен интернет
Изменен путь до статики из бекенда (требуется поправить docker-compose.yaml
)
Исправлена ошибка, из-за которой в одноименных пакетах (с разными версиями), находящихся в разных манифестах, неправильно отображалась информация о файле, в котором пакет найден
[2022.49.1] - 2022-12-07
Исправлена работа страницы проекта
[2022.49.0] - 2022-12-07
Добавлены события логина в Audit log
Добавлена обработка ноды unresolved
Добавлено новое условие в политиках на отсутствие версии компонента
Изменено API инсталляции
Исправлена работа анализа при отсутствии env в графе зависимостей
[2022.48.2] - 2022-12-04
Добавлена поддержка modern yarn
Изменен механизм отнесения зависимостей к прямым
Добавлена секция unresolved для зависимостей, которые есть в lock файле, но не имеют родительского компонента
Консольный агент Johnny
[2024.15.0] – 2024-04-11
Добавлена поддержка выгрузки результата сканирования в формате CSV
В выгрузку результата сканирования добавлен путь до исходного файла, в котором нашлась зависимость
Улучшен поиск .net пакетов при сканировании образов
[2024.13.0] – 2024-03-28
Добавлена поддержка выгрузки результатов сканирования в форматах SARIF и XML
[2024.10.2] – 2024-03-07
Исправлено объединение lock-файлов с манифестами на Windows
[2024.9.0] – 2024-02-29
Исправлено падение при парсинге go.sum
[2024.7.0] – 2024-02-12
Уменьшен размер Docker-образа с агентом
Исправлена ошибка при хэшировании пустых файлов
[2024.5.0] – 2024-01-31
Добавлена поддержка Scala
Добавлен резолв зависимости в go окружении (--go-resolve
)
Добавлен резолв зависимости в maven окружении (--maven-resolve
)
Добавлен резолв зависимости в gradle окружении (--gradle-resolve
)
Добавлен резолв зависимости в yarn окружении (--yarn-resolve
)
Улучшены сообщения об ошибках в параметрах запроса
Добавлены переменные URL (cli.api_url
) и TOKEN (cli.api_token
) инсталляции в конфиг
В summary теперь считается количество уязвимостей, а не пакетов
Увеличена ширина таблиц при невозможности определения ширины терминала
[2023.49.0] – 2023-12-08
Добавлена поддержка разбора манифестов Rust cargo.lock
и cargo.toml
Добавлен параметр --no-recursion
для выключения рекурсивного скана команды scan dir
[2023.48.0] – 2023-11-22
Добавлена настройка формата вывода таблицы с результатами -f --format
(с возможностью отключения цветов)
Добавлена настройка группировки уязвимостей в выводе -g --group-vulnerabilities-by
Добавлена настройка сортировки уязвимостей в выводе -s --sort-vulnerabilities-by
Добавлена настройка ограничения по времени ожидания анализа -t --timeout
[2023.43.0] – 2023-10-27
В консольный вывод добавлена сводная информацию о степени критичности уязвимостей
Исправлен разбор манифестов .gradle.kts
[2023.38.0] - 2023-09-20
Улучшен разбор манифестов package.json и composer.json
[2023.35.0] - 2023-08-31
Улучшен парсинг поля environment для манифестов Gemfile
и Gemfile.lock
Убрано автоматическое объединение ячеек с одинаковым значением CVSS в таблице с уязвимостями
[2023.33.0] - 2023-08-17
Оптимизирован вывод таблиц в консоль на малых экранах
[2023.30.0] - 2023-07-27
Добавлен парсинг conanfile.py
для Conan
Добавлена индикация активного процесса анализа в виде progress bar
Добавлено табличное отображение для вывода алертов и уязвимостей в консоль
Унифицирована обработка слэша в конце строки для команды scan dir
[2023.27.0] - 2023-07-06
Исправлен panic при анализе некоторых Go проектов
Исправлено сканирование образов в части некорректного определения компонентов, которые не являются зависимостями
[2023.26.0] - 2023-06-30
Улучшен парсинг gradle-dependency-tree
в части работы со строками classPath
Исправлен вывод Policy Alerts в консоль
[2023.23.0] - 2023-06-08
Добавлен парсинг разных версий формата conan.lock
Исправлено сбрасывание признака парсера по достижении пустой строки в conanfile.txt
Исправлен парсинг yarn.lock
[2023.21.0] - 2023-05-23
Добавлен параметр запуска --scan-depth
для настройки глубины сканирования архивов
Добавлен флаг --scan-files
в команде scan image для сканирования файлов внутри docker-образа
Улучшено определение вложенных зависимостей jar-пакетов
Исправлен парсинг Gemfile
[2023.15.0] - 2023-04-14
Добавлен вывод Fixed version
Добавлена возможность сохранения результатов сканирования
Добавлена возможность создания проекта
Добавлен поиск системных зависимостей в docker-образе
Оптимизирован парсинг package-lock
v3 манифеста для NPM
Исправлены некоторые ошибки
[2023.11.0] - 2023-03-16
Добавлена поддержка консольных команд
Улучшен разбор pyproject.toml
Добавлена очистка /tmp директории после сканирования docker образа
[2023.5.0] - 2023-02-01
Добавлено сканирование docker-образов
Изменено поведение при запуске без проекта
Обновлен Golang до 1.19
Исправлено хеширование в архивах с опцией --only-hashes
Исправлено определение битых и запароленных архивов
[2023.3.0] - 2023-01-20
Исправлена ошибка при парсинге gradle-dependency-tree
[2023.2.0] - 2023-01-13
Добавлено сканирование архивов, флаг для запуска --scan-archives
[2022.52.0] - 2022-12-30
Исправлен парсинг pom.xml
в части работы с секцией dependencyManagement
[2022.50.0] - 2022-12-12
Добавлена поддержка парсинга conan.lock
файлов
Исправлена передача дополнительных данных для резолвера из Nuget манифестов
Nexus OSA
[2024.7.0] – 2024-02-17
Добавлена ссылка на страницу компонента в CodeScoring в сообщении о блокировке
Добавлено сообщение о блокировке для ситуаций, когда registry не добавлен в CodeScoring
[2024.2.0] – 2024–01-12
Расширен перечень архитектур образов
Добавлена поддержка новых статусов блокировки компонентов
[2023.48.0] – 2023-11-22
Добавлен новый режим работы spectator
Добавлена поддержка сканирования мультиплатформенных Docker-образов
[2023.44.0] – 2023-10-31
Добавлена поддержка сканирования proxy Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
[2023.43.0] – 2023-10-27
[2023.40.0] - 2023-10-04
Добавлена Capability для проверки образов из Hosted Docker Repository
[2023.37.0] - 2023-09-11
Исправлена ошибка сохранения результатов сканирования при отсутствии обязательных полей
[2023.36.0] - 2023-09-05
Добавлена опция блокировки сборки при получении ошибки взаимодействия с инсталляцией CodeScoring
[2023.33.0] - 2023-08-15
Добавлена опция сохранения результатов сканирования артефакта в базу Nexus
Добавлен метод в API для извлечения результатов сканирования артефакта
[2023.26.0] - 2023-06-30
Добавлена поддержка сканирования open-source компонентов в hosted репозиториях
[2023.6.2] - 2023-02-09
Добавлена настройка прокси-сервера в конфигурации плагина
[2023.6.0] - 2023-02-07
Добавлен параметр HTTP Client Connection Pool Size в конфигурации плагина для управления количеством запросов к инсталляции
[2023.4.0] - 2023-01-24
Улучшен парсинг компонентов RubyGems
[2022.51.0] - 2022-12-20
JFrog OSA
[2024.11.0] – 2024-03-15
Добавлена ссылка на страницу компонента в CodeScoring в сообщении о блокировке
Добавлено новое сообщение о блокировке компонента в ситуациях, когда registry не добавлен в CodeScoring
Добавлена настройка для работы с Docker registry Repository path (stripRepoNameInDockerImageName
)
Улучшено определение имени и версии артифакта для PyPI, NPM, Debian и Alpine репозиториев
Исправлена ошибка сканирования для незакэшированных образов в remote docker репозиториях
[2024.5.0] – 2024-02-02
Добавлена обработка zip-архивов в golang репозиториях
Улучшена работа с debian пакетами
Исправлена ошибка проверки alpine пакетов
Исправлено сканирование артифактов в virtual репозиториях
[2024.2.0] – 2024-01-12
Расширен перечень архитектур образов
Добавлена поддержка новых статусов блокировки компонентов
Добавлено логирование тела запроса на загрузку компонента и ответа
Исправлена ошибка блокирования пакетов в debug режиме
[2023.50.0] – 2023-12-15
Добавлен новый режим работы spectator
Добавлена поддержка сканирования мультиплатформенных Docker-образов
Файл для настройки плагина теперь использует формат .yaml
Добавлена возможность указания режима работы на каждый репозиторий отдельно
Добавлена возможность изменения значений по умолчанию в файле для настройки
Добавлен параметр HTTP Client Connection Pool Size для управления количеством запросов к инсталляции
Добавлен параметр выключения плагина
[2023.48.0] – 2023-11-23
Добавлен вывод конфига в лог при старте плагина
[2023.43.0] – 2023-10-27
Добавлены различные режимы работы плагина
Добавлена поддержка сканирования local/remote Docker репозиториев
[2023.28.2]
Добавлен префикс CodeScoring:
ко всем логам
[2023.28.1]
Понижен уровень всех ошибок взаимодействия с инсталляцией CodeScoring до [INFO]
[2023.28.0]
Исправлена ошибка с неработающим флагом blockDownloads
в properties
[2023.27.0]
Добавлен флаг blockDownloads
в properties, который позволяет контролировать загрузку пакета при наличия ошибок CodeScoring API или плагина
[2023.26.0]
Исправлено сохранение properties пакета при его скачивании из virtual-репозитория
[2023.22.0]
Исправлена ошибка с обязательным полем project_name
в OSA API
[2023.21.0]
Изменен формат поставки плагина: теперь он поставляется в виде jar-файла
Изменена инициализация плагина: вместо перезагрузки на каждый запрос происходит единоразовая инициализация при запуске