Changelog

Codescoring On-premise

[2024.17.1] – 2024-04-23

• Добавлена возможность указывать тип OSA компонента, для которого будет применяться политика
• Добавлен раздел Group mapping для настройки LDAP групп
• Добавлен маппинг LDAP групп на внутренние группы CodeScoring
• Добавлены ссылки на уязвимости и лицензии в поле Matched criteria раздела Policy Alerts
• Добавлен поиск в условие политики по полю Technology
• Добавлено поле Matched criteria в таблицу Policy Alerts на странице проекта
• Возвращено отображение иконки загрузки SBOM
• Колонки License и Vulnerability в таблицах Policy Alerts теперь скрыты по умолчанию
• Ускорена загрузка раздела Components -> Requests
• Улучшена периодическая очистка запросов OSA из базы данных
• Исправлен редирект при удалении пользователя
• Исправлено формирование Dependency Name из PURL

[2024.15.0] - 2024-04-09

• Добавлена возможность настройки нескольких LDAP интеграций
• Добавлен вывод Matched criteria в разделе Container images
• Добавлены колонки и фильтры Scan schedule, Scan with hashes в раздел Projects
• Добавлены колонки и фильтры Scan schedule, Excluded from analysis в раздел Settings -> Projects
• Добавлена в Audit Log информация о предыдущем уровне доступа пользователя
• Добавлена поддержка нестандартных портов для SSH при добавлении VCS
• Добавлен процент схожести между авторами в разделе Authors
• Реализована периодическая очистка запросов OSA в базе данных
• Возвращена стадия политики dev в настройки проекта

[2024.13.0] – 2024-03-27

• Исправлен повторный запуск периодических задач в очереди
• Исправлено длительное ожидание ответа от Index API в случае прерывания соединения

[2024.12.0] – 2024-03-22

• Добавлен раздел Components, включающий в себя списки компонентов и запросов OSA
• Добавлено поле Vulnerabilities в CSV-отчет по проектам
• Добавлена метрика pool_used для просмотра занятых соединений из пула
• Оптимизирован запуск анализа и выгрузка SBoM CLI проекта
• Исправлено игнорирование флага load full images list при создании или обновлении Registry
• Исправлено отображение количества активных политик в разделе Dashboard
• Исправлено отсутствие вариантов для политики по CVSS2 Authentication
• Исправлена ошибка при вычислении Policy Alerts политики с условием CVSS Score

[2024.11.0] – 2024-03-18

• Добавлена информация о пакете в секции Policy alerts и Vulnerabilities на странице заблокированного в OSA образа
• Добавлен фильтр Group в разделе Vulnerabilities
• Переименован признак политики Blocks build в Blocker
• Оптимизирован анализ CLI проектов в ситуации, когда зависимости анализируемого проекта часто встречаются в других проектах
• Ускорена загрузка информации о похожих авторах
• Исправлено отображение связей на одном уровне в графе зависимостей проекта

[2024.10.0] – 2024-03-06

• Исправлено исчезновение кнопки выгрузки HTML для графиков
• Изменено форматирование сообщений коммитов в таблице коммитов проекта
• Исправлено отображение метрик на страницах проектов, для которых анализ не проводился
• Исправлена доступность скачивания PDF-отчета и SBOM в зависимости от статуса анализа проекта

[2024.9.1] – 2024-02-29

• Исправлена нечувствительность к регистру при создании пользователей из LDAP

[2024.9.0] – 2024-02-28

• Добавлено отображение статуса анализа в истории для проектов и образов
• Добавлено отображение сообщений коммитов в проектах за прошлые периоды на странице TQI
• Расширены метрики SCA на странице проекта
• Исправлено поведение при загрузке и сканировании образов без тегов
• Исправлено обновление информации о Container registry после сохранения изменений
• Исправлена невозможность просмотра коммитов проекта за последнюю неделю
• Исправлено отображение метрик на страницах проектов, для которых анализ не проводился
• Исправлена интеграция с LDAP
• Уменьшен таймаут при проверке доступности Registry

[2024.8.0] – 2024-02-22

• Исправлен запуск общего анализа клонов
• Исправлено отображение путей до файлов внутри клонов
• Исправлены переходы на списки клонов с карты клонов
• Исправлено отображение автора при отсутствии поля email
• Исправлено отображение скрытых колонок в таблицах
• Исправлено отображение переменной block_status в списке раздела Container Images
• Исправлено обновление списка образов при наличии в registry образов без указания платформы
• Убрано пустое значение при выборе в фильтрах
• Убран автоматический перезапуск сканирования по расписанию в случае падения

[2024.7.0] – 2024-02-16

• Добавлены уязвимости из БДУ ФСТЭК
• Реализована cтраница для вывода информации о заблокированной в OSA компоненте
• Реализован запуск анализа авторов по одному проекту
• Реализован запуск анализа клонов по одному проекту
• Добавлена таблица коммитов на вкладке TQI страницы проекта
• Исправлен фильтр по уязвимостям в разделе Policy Alerts
• Исправлен переход на страницу политики из раздела Dashboard

[2024.5.0] – 2024-02-02

• Обновлен UI системы
• Добавлены новые метрики SCA на странице проекта
• Добавлено условие политики на соответствие PURL регулярному выражению
• Добавлено условие политики на поиск текстовой строки в PURL
• Добавлена проверка на скрытые символы при вводе активационного ключа
• Исправлен фильтр по технологиям в разделе Projects
• Исправлен вывод технологий для CLI проектов в разделе Projects
• Оптимизирован механизм перерасчета политик
• Уточнены сообщения об ошибках соединения с GitLab
• Изменена ориентация раздела Vulnerabilities в PDF отчете по проекту

[2024.2.0] – 2024-01-12

• Добавлена информация про архитектуру сканируемых образов
• Добавлен фильтр Group на странице проектов
• Добавлена поддержка спецификации CycloneDX 1.5 при импорте SBOM
• Добавлены новые статусы блокировки компонентов OSA
• Улучшена производительность OSA
• Ускорена загрузка Complexity map в разделе Projects
• Убраны сканирования, зависшие в статусе in progress
• Исправлен экспорт отчета в PDF при активном сканировании проекта и для CLI проектов

[2023.49.0] – 2023-12-08

• Добавлена возможность экспорта PDF-отчета с результатами сканирования проекта
• Добавлена поддержка анализа зависимостей Rust через манифесты Cargo
• Добавлена возможность клонирования репозитория через SSH
• Добавлен новый тип VCS "Other Git"
• Добавлено отображение количества найденных уязвимостей в списке раздела Projects
• Добавлен поиск по вложенным (имеющим записи в разных фидах) уязвимостям в разделе Vulnerabilities
• Добавлена настройка отображения ID проекта в разделе Settings -> Projects
• Добавлены нулевые значения в Prometheus метрики OSA API
• Автоматическое проведение анализа после клонирования VCS проекта стало опциональным
• Исправлена ошибка при сортировке таблицы по полю CVSS3 Attack Complexity в разделе Vulnerabilities
• Исправлена некорректная работа OSA с пакетами, имеющими верхний регистр в версии

[2023.48.0] – 2023-11-22

• Уменьшен размер поставляемых Docker-образов CodeScoring
• Добавлен параметр Matched criteria с причиной сработавшей политики в раздел Policy alerts
• Добавлен новый тип Container registries "Other"
• Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API
• Добавлены Prometheus метрики по статусу сканирования и статусу блокировки компонента в OSA
• Добавлено скрытие пароля и токена в настройках подключения к Jira
• Убраны дубликаты уязвимостей в SBOM, имеющие разные затронутые версии
• Удален устаревший endpoint API /integration_api/v1/
• Ускорена работа анализа при большом количестве Policy ignores
• Исправлена ошибка UnsafeOption при работе с Azure и Bitbucket
• Исправлен вывод доступных значений для фильтра Container images в разделе Policy alerts
• Исправлен поиск по зависимости в разделе Policy alerts
• Исправлено отображение фильтра CWE в разделе Vulnerabilities

[2023.44.0] – 2023-10-31

• Добавлено сохранение фильтров между вкладками в разделе Policy alerts
• Исправлено отображение решенных Policy alerts на странице проекта

[2023.43.0] - 2023-10-27

• Добавлена поддержка сканирования proxy Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
• Добавлен Digest и тэги на странице контейнерного образа
• Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов из контейнерных образов
• Добавлены метрики количества и времени запросов для CodeScoring OSA
• Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди
• Добавлено новое условие политики – возраст уязвимости
• Добавлена возможность не загружать автоматически список образов при добавлении Container Registry
• Исправлено открытие страницы просмотра Policy Ignore
• Исправлено отображение ошибки git 128 при работе с VCS

[2023.41.0] - 2023-10-09

• Для запуска CodeScoring теперь не требуется наличие прав суперпользователя внутри контейнера. Инструкция по миграции с root-контейнеров на rootless доступна у вендора

[2023.40.0] - 2023-10-04

• Добавлена возможность сканирования образов из hosted Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
• Добавлена возможность блокирования загрузки образов из Sonatype Nexus Repository при несоответствии политикам безопасности

[2023.38.0] - 2023-09-20

• Добавлена возможность указания спецсимволов в пароле для подключения к базе данных
• Исправлена ошибка отображения игнорируемых алертов в разделе Policy Ignores
• Исправлено отображение полей Source files и Parents на странице зависимости
• Возвращено моментальное удаление алерта из списка Active после создания правила игнорирования
• Дополнена схема обновления на актуальную версию продукта.

[2023.35.0] - 2023-08-31

• Добавлена история SCA сканирований в проекте
• На странице проекта информация модулей SCA и TQI теперь отображается в отдельных вкладках
• Добавлено отображение частей CVSS векторов в списке уязвимостей
• Добавлено новое условие политики "Vulnerability has fixed version"
• Добавлено поле CWE в экспорт CSV-таблицы уязвимостей
• Добавлен баннер CodeScoring и логирование версии в консоль при запуске Docker-контейнера с инсталляцией
• Добавлены метрики количества запущенных анализов для Prometheus
• Удален deprecated endpoint /api/policy_alerts/ignored/
• Удален deprecated endpoint /api/policy_alerts/resolved/
• Удален deprecated endpoint /api/policy_alerts/
• Исправлен вывод технологий на списке Policy ignores
• Исправлена работа политики по purl и CVSS для rpm
• Убран текст лицензий из генерируемых SBoM по проекту

[2023.31.0] - 2023-08-04

• Ускорена работа CodeScoring OSA

[2023.30.0] - 2023-07-27

• Добавлена fixed version в таблице Affected dependencies на странице уязвимости
• Добавлены метрики состояния очередей для Prometheus
• Перенесена версия инсталляции из футера в боковое меню
• Исправлено несоответствие Swagger-схемы с API
• Убрана возможность нажать кнопку Upload SBOM без наличия прикрепленного файла

[2023.26.0] - 2023-06-30

• Добавлена поддержка системных пакетов для OSA-плагина в NXRM
• Добавлены новые условия политики - по наличию эксплойта уязвимости и частям CVSS-вектора
• Добавлен вывод названия политики, stage и level в список Policy alerts на странице проекта
• Добавлен фильтр по типу проекта в списке проектов
• Пометили метод /api/dependencies/csv/ как устаревший. Теперь надо использовать /api/dependencies/by_project/csv/
• Исправлена ошибка при добавлении проекта без предварительного создания VCS
• Исправлено отображение информации о stages на карточке описания политики для уровня доступа User

[2023.24.0] - 2023-06-13

• Добавлен фильтр для поиска по названию политик в разделе Policies
• Исправлен экспорт зависимостей с пустым фильтром

[2023.22.0] - 2023-06-01

• Исправлена загрузка SBOM в формате CycloneDX, полученного от Microsoft.SBOMTool
• Исправлена обработка дробного рейтинга уязвимости при формировании SBOM

[2023.21.3] - 2023-05-30

• Исправлена загрузка SBOM в формате CycloneDX, полученного с помощью сторонних инструментов
• Ускорена загрузка страниц Code Clones

[2023.21.2] - 2023-05-23

• Добавлена возможность загрузки и скачивания SBOM по проекту в формате CycloneDX
• Добавлена возможность проведения анализа на CLI-проекте через интерфейс
• Добавлено ручное обновление кода проекта в настройках
• Добавлена возможность подключения нескольких VCS с одним адресом, но разными токенами
• Добавлена поддержка basic auth для интеграции с Jira
• Исправлен вывод списка лицензий на графике
• Исправлено появление дубликатов алертов при большой нагрузке

[2023.15.0] - 2023-04-14

• Добавлен новый тип проектов без привязки к репозиторию — CLI
• Добавлена группировка Policy alerts в дайджесты для уведомлений через email
• Добавлен поиск по названию политики и имени зависимости в Policy alerts
• Добавлены рекомендации по устранению уязвимостей (fixed version)
• Добавлена поддержка разбора пакетов в форматах deb/apk/rpm
• Добавлен вывод предложения обновить страницу, если версия клиента отличается от версии сервера
• Добавлены незначительные улучшения в UI

[2023.11.0] - 2023-03-16

• Исправлена долгая загрузка графика Distribution by license на Dashboard
• Добавлено поле Note к Policy ignore
• Добавлено поле Description к Policy
• Добавлен новый уровень доступа Auditor
• Добавлена настройка времени жизни сессии через переменную окружения
• Добавлены ссылки на граф зависимостей

[2023.6.0] - 2023-02-10

• Добавлены графы зависимостей проекта (ссылка есть на странице проекта)
• Добавлена опция отключения сбора хешей во время SCA на инсталляции
• Добавлен кеш ответов Index API для OSA (по-умолчанию от 1 часа до 1.5 часов, настраивается через переменные окружения)
• Дополнена информация об ограничениях в использовании OSSIndex
• Запуск массового SCA теперь логируется в Audit log
• Для Swagger больше не нужен интернет
• Изменен путь до статики из бекенда (требуется поправить docker-compose.yaml)
• Исправлена ошибка, из-за которой в одноименных пакетах (с разными версиями), находящихся в разных манифестах, неправильно отображалась информация о файле, в котором пакет найден

[2022.49.1] - 2022-12-07

• Исправлена работа страницы проекта

[2022.49.0] - 2022-12-07

• Добавлены события логина в Audit log
• Добавлена обработка ноды unresolved
• Добавлено новое условие в политиках на отсутствие версии компонента
• Изменено API инсталляции
• Исправлена работа анализа при отсутствии env в графе зависимостей

[2022.48.2] - 2022-12-04

• Добавлена поддержка modern yarn
• Изменен механизм отнесения зависимостей к прямым
• Добавлена секция unresolved для зависимостей, которые есть в lock файле, но не имеют родительского компонента

Консольный агент Johnny

[2024.15.0] – 2024-04-11

• Добавлена поддержка выгрузки результата сканирования в формате CSV
• В выгрузку результата сканирования добавлен путь до исходного файла, в котором нашлась зависимость
• Улучшен поиск .net пакетов при сканировании образов

[2024.13.0] – 2024-03-28

• Добавлена поддержка выгрузки результатов сканирования в форматах SARIF и XML

[2024.10.2] – 2024-03-07

• Исправлено объединение lock-файлов с манифестами на Windows

[2024.9.0] – 2024-02-29

• Исправлено падение при парсинге go.sum

[2024.7.0] – 2024-02-12

• Уменьшен размер Docker-образа с агентом
• Исправлена ошибка при хэшировании пустых файлов

[2024.5.0] – 2024-01-31

• Добавлена поддержка Scala
• Добавлен резолв зависимости в go окружении (--go-resolve)
• Добавлен резолв зависимости в maven окружении (--maven-resolve)
• Добавлен резолв зависимости в gradle окружении (--gradle-resolve)
• Добавлен резолв зависимости в yarn окружении (--yarn-resolve)
• Улучшены сообщения об ошибках в параметрах запроса
• Добавлены переменные URL (cli.api_url) и TOKEN (cli.api_token) инсталляции в конфиг
• В summary теперь считается количество уязвимостей, а не пакетов
• Увеличена ширина таблиц при невозможности определения ширины терминала

[2023.49.0] – 2023-12-08

• Добавлена поддержка разбора манифестов Rust cargo.lock и cargo.toml
• Добавлен параметр --no-recursion для выключения рекурсивного скана команды scan dir

[2023.48.0] – 2023-11-22

• Добавлена настройка формата вывода таблицы с результатами -f --format (с возможностью отключения цветов)
• Добавлена настройка группировки уязвимостей в выводе -g --group-vulnerabilities-by
• Добавлена настройка сортировки уязвимостей в выводе -s --sort-vulnerabilities-by
• Добавлена настройка ограничения по времени ожидания анализа -t --timeout

[2023.43.0] – 2023-10-27

• В консольный вывод добавлена сводная информацию о степени критичности уязвимостей
• Исправлен разбор манифестов .gradle.kts

[2023.38.0] - 2023-09-20

• Улучшен разбор манифестов package.json и composer.json

[2023.35.0] - 2023-08-31

• Улучшен парсинг поля environment для манифестов Gemfile и Gemfile.lock
• Убрано автоматическое объединение ячеек с одинаковым значением CVSS в таблице с уязвимостями

[2023.33.0] - 2023-08-17

• Оптимизирован вывод таблиц в консоль на малых экранах

[2023.30.0] - 2023-07-27

• Добавлен парсинг conanfile.py для Conan
• Добавлена индикация активного процесса анализа в виде progress bar
• Добавлено табличное отображение для вывода алертов и уязвимостей в консоль
• Унифицирована обработка слэша в конце строки для команды scan dir

[2023.27.0] - 2023-07-06

• Исправлен panic при анализе некоторых Go проектов
• Исправлено сканирование образов в части некорректного определения компонентов, которые не являются зависимостями

[2023.26.0] - 2023-06-30

• Улучшен парсинг gradle-dependency-tree в части работы со строками classPath
• Исправлен вывод Policy Alerts в консоль

[2023.23.0] - 2023-06-08

• Добавлен парсинг разных версий формата conan.lock
• Исправлено сбрасывание признака парсера по достижении пустой строки в conanfile.txt
• Исправлен парсинг yarn.lock

[2023.21.0] - 2023-05-23

• Добавлен параметр запуска --scan-depth для настройки глубины сканирования архивов
• Добавлен флаг --scan-files в команде scan image для сканирования файлов внутри docker-образа
• Улучшено определение вложенных зависимостей jar-пакетов
• Исправлен парсинг Gemfile

[2023.15.0] - 2023-04-14

• Добавлен вывод Fixed version
• Добавлена возможность сохранения результатов сканирования
• Добавлена возможность создания проекта
• Добавлен поиск системных зависимостей в docker-образе
• Оптимизирован парсинг package-lock v3 манифеста для NPM
• Исправлены некоторые ошибки

[2023.11.0] - 2023-03-16

• Добавлена поддержка консольных команд
• Улучшен разбор pyproject.toml
• Добавлена очистка /tmp директории после сканирования docker образа

[2023.5.0] - 2023-02-01

• Добавлено сканирование docker-образов
• Изменено поведение при запуске без проекта
• Обновлен Golang до 1.19
• Исправлено хеширование в архивах с опцией --only-hashes
• Исправлено определение битых и запароленных архивов

[2023.3.0] - 2023-01-20

• Исправлена ошибка при парсинге gradle-dependency-tree

[2023.2.0] - 2023-01-13

• Добавлено сканирование архивов, флаг для запуска --scan-archives

[2022.52.0] - 2022-12-30

• Исправлен парсинг pom.xml в части работы с секцией dependencyManagement

[2022.50.0] - 2022-12-12

• Добавлена поддержка парсинга conan.lock файлов
• Исправлена передача дополнительных данных для резолвера из Nuget манифестов

Nexus OSA

[2024.7.0] – 2024-02-17

• Добавлена ссылка на страницу компонента в CodeScoring в сообщении о блокировке
• Добавлено сообщение о блокировке для ситуаций, когда registry не добавлен в CodeScoring

[2024.2.0] – 2024–01-12

• Расширен перечень архитектур образов
• Добавлена поддержка новых статусов блокировки компонентов

[2023.48.0] – 2023-11-22

• Добавлен новый режим работы spectator
• Добавлена поддержка сканирования мультиплатформенных Docker-образов

[2023.44.0] – 2023-10-31

• Добавлена поддержка сканирования proxy Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory

[2023.43.0] – 2023-10-27

• Добавлены различные режимы работы плагина

[2023.40.0] - 2023-10-04

• Добавлена Capability для проверки образов из Hosted Docker Repository

[2023.37.0] - 2023-09-11

• Исправлена ошибка сохранения результатов сканирования при отсутствии обязательных полей

[2023.36.0] - 2023-09-05

• Добавлена опция блокировки сборки при получении ошибки взаимодействия с инсталляцией CodeScoring

[2023.33.0] - 2023-08-15

• Добавлена опция сохранения результатов сканирования артефакта в базу Nexus
• Добавлен метод в API для извлечения результатов сканирования артефакта

[2023.26.0] - 2023-06-30

• Добавлена поддержка сканирования open-source компонентов в hosted репозиториях

[2023.6.2] - 2023-02-09

• Добавлена настройка прокси-сервера в конфигурации плагина

[2023.6.0] - 2023-02-07

• Добавлен параметр HTTP Client Connection Pool Size в конфигурации плагина для управления количеством запросов к инсталляции

[2023.4.0] - 2023-01-24

• Улучшен парсинг компонентов RubyGems

[2022.51.0] - 2022-12-20

• Улучшено логирование ответов от инсталляции

JFrog OSA

[2024.11.0] – 2024-03-15

• Добавлена ссылка на страницу компонента в CodeScoring в сообщении о блокировке
• Добавлено новое сообщение о блокировке компонента в ситуациях, когда registry не добавлен в CodeScoring
• Добавлена настройка для работы с Docker registry Repository path (stripRepoNameInDockerImageName)
• Улучшено определение имени и версии артифакта для PyPI, NPM, Debian и Alpine репозиториев
• Исправлена ошибка сканирования для незакэшированных образов в remote docker репозиториях

[2024.5.0] – 2024-02-02

• Добавлена обработка zip-архивов в golang репозиториях
• Улучшена работа с debian пакетами
• Исправлена ошибка проверки alpine пакетов
• Исправлено сканирование артифактов в virtual репозиториях

[2024.2.0] – 2024-01-12

• Расширен перечень архитектур образов
• Добавлена поддержка новых статусов блокировки компонентов
• Добавлено логирование тела запроса на загрузку компонента и ответа
• Исправлена ошибка блокирования пакетов в debug режиме

[2023.50.0] – 2023-12-15

• Добавлен новый режим работы spectator
• Добавлена поддержка сканирования мультиплатформенных Docker-образов
• Файл для настройки плагина теперь использует формат .yaml
• Добавлена возможность указания режима работы на каждый репозиторий отдельно
• Добавлена возможность изменения значений по умолчанию в файле для настройки
• Добавлен параметр HTTP Client Connection Pool Size для управления количеством запросов к инсталляции
• Добавлен параметр выключения плагина

[2023.48.0] – 2023-11-23

• Добавлен вывод конфига в лог при старте плагина

[2023.43.0] – 2023-10-27

• Добавлены различные режимы работы плагина
• Добавлена поддержка сканирования local/remote Docker репозиториев

[2023.28.2]

• Добавлен префикс CodeScoring: ко всем логам

[2023.28.1]

• Понижен уровень всех ошибок взаимодействия с инсталляцией CodeScoring до [INFO]

[2023.28.0]

• Исправлена ошибка с неработающим флагом blockDownloads в properties

[2023.27.0]

• Добавлен флаг blockDownloads в properties, который позволяет контролировать загрузку пакета при наличия ошибок CodeScoring API или плагина

[2023.26.0]

• Исправлено сохранение properties пакета при его скачивании из virtual-репозитория

[2023.22.0]

• Исправлена ошибка с обязательным полем project_name в OSA API

[2023.21.0]

• Изменен формат поставки плагина: теперь он поставляется в виде jar-файла
• Изменена инициализация плагина: вместо перезагрузки на каждый запрос происходит единоразовая инициализация при запуске