Перейти к содержанию

Changelog

Codescoring On-premise

[2024.8.0] – 2024-02-22

  • Исправлен запуск общего анализа клонов
  • Исправлено отображение путей до файлов внутри клонов
  • Исправлены переходы на списки клонов с карты клонов
  • Исправлено отображение автора при отсутствии поля email
  • Исправлено отображение скрытых колонок в таблицах
  • Исправлено отображение переменной block_status в списке раздела Container Images
  • Исправлено обновление списка образов при наличии в registry образов без указания платформы
  • Убрано пустое значение при выборе в фильтрах
  • Убран автоматический перезапуск сканирования по расписанию в случае падения

[2024.7.0] – 2024-02-16

  • Добавлены уязвимости из БДУ ФСТЭК
  • Реализована cтраница для вывода информации о заблокированной в OSA компоненте
  • Реализован запуск анализа авторов по одному проекту
  • Реализован запуск анализа клонов по одному проекту
  • Добавлена таблица коммитов на вкладке TQI страницы проекта
  • Исправлен фильтр по уязвимостям в разделе Policy Alerts
  • Исправлен переход на страницу политики из раздела Dashboard

[2024.5.0] – 2024-02-02

  • Обновлен UI системы
  • Добавлены новые метрики SCA на странице проекта
  • Добавлено условие политики на соответствие PURL регулярному выражению
  • Добавлено условие политики на поиск текстовой строки в PURL
  • Добавлена проверка на скрытые символы при вводе активационного ключа
  • Исправлен фильтр по технологиям в разделе Projects
  • Исправлен вывод технологий для CLI проектов в разделе Projects
  • Оптимизирован механизм перерасчета политик
  • Уточнены сообщения об ошибках соединения с GitLab
  • Изменена ориентация раздела Vulnerabilities в PDF отчете по проекту

[2024.2.0] – 2024-01-12

  • Добавлена информация про архитектуру сканируемых образов
  • Добавлен фильтр Group на странице проектов
  • Добавлена поддержка спецификации CycloneDX 1.5 при импорте SBOM
  • Добавлены новые статусы блокировки компонентов OSA
  • Улучшена производительность OSA
  • Ускорена загрузка Complexity map в разделе Projects
  • Убраны сканирования, зависшие в статусе in progress
  • Исправлен экспорт отчета в PDF при активном сканировании проекта и для CLI проектов

[2023.49.0] – 2023-12-08

  • Добавлена возможность экспорта PDF-отчета с результатами сканирования проекта
  • Добавлена поддержка анализа зависимостей Rust через манифесты Cargo
  • Добавлена возможность клонирования репозитория через SSH
  • Добавлен новый тип VCS "Other Git"
  • Добавлено отображение количества найденных уязвимостей в списке раздела Projects
  • Добавлен поиск по вложенным (имеющим записи в разных фидах) уязвимостям в разделе Vulnerabilities
  • Добавлена настройка отображения ID проекта в разделе Settings -> Projects
  • Добавлены нулевые значения в Prometheus метрики OSA API
  • Автоматическое проведение анализа после клонирования VCS проекта стало опциональным
  • Исправлена ошибка при сортировке таблицы по полю CVSS3 Attack Complexity в разделе Vulnerabilities
  • Исправлена некорректная работа OSA с пакетами, имеющими верхний регистр в версии

[2023.48.0] – 2023-11-22

  • Уменьшен размер поставляемых Docker-образов CodeScoring
  • Добавлен параметр Matched criteria с причиной сработавшей политики в раздел Policy alerts
  • Добавлен новый тип Container registries "Other"
  • Добавлено право пользователям с уровнем доступа User создавать CLI проекты через API
  • Добавлены Prometheus метрики по статусу сканирования и статусу блокировки компонента в OSA
  • Добавлено скрытие пароля и токена в настройках подключения к Jira
  • Убраны дубликаты уязвимостей в SBOM, имеющие разные затронутые версии
  • Удален устаревший endpoint API /integration_api/v1/
  • Ускорена работа анализа при большом количестве Policy ignores
  • Исправлена ошибка UnsafeOption при работе с Azure и Bitbucket
  • Исправлен вывод доступных значений для фильтра Container images в разделе Policy alerts
  • Исправлен поиск по зависимости в разделе Policy alerts
  • Исправлено отображение фильтра CWE в разделе Vulnerabilities

[2023.44.0] – 2023-10-31

  • Добавлено сохранение фильтров между вкладками в разделе Policy alerts
  • Исправлено отображение решенных Policy alerts на странице проекта

[2023.43.0] - 2023-10-27

  • Добавлена поддержка сканирования proxy Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
  • Добавлен Digest и тэги на странице контейнерного образа
  • Добавлено фоновое обновление уязвимостей и фоновая работа политик для компонентов из контейнерных образов
  • Добавлены метрики количества и времени запросов для CodeScoring OSA
  • Дополнены метрики очередей на инсталляции – теперь можно отдельно посмотреть типы анализов в очереди
  • Добавлено новое условие политики – возраст уязвимости
  • Добавлена возможность не загружать автоматически список образов при добавлении Container Registry
  • Исправлено открытие страницы просмотра Policy Ignore
  • Исправлено отображение ошибки git 128 при работе с VCS

[2023.41.0] - 2023-10-09

  • Для запуска CodeScoring теперь не требуется наличие прав суперпользователя внутри контейнера. Инструкция по миграции с root-контейнеров на rootless доступна у вендора

[2023.40.0] - 2023-10-04

  • Добавлена возможность сканирования образов из hosted Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory
  • Добавлена возможность блокирования загрузки образов из Sonatype Nexus Repository при несоответствии политикам безопасности

[2023.38.0] - 2023-09-20

  • Добавлена возможность указания спецсимволов в пароле для подключения к базе данных
  • Исправлена ошибка отображения игнорируемых алертов в разделе Policy Ignores
  • Исправлено отображение полей Source files и Parents на странице зависимости
  • Возвращено моментальное удаление алерта из списка Active после создания правила игнорирования
  • Дополнена схема обновления на актуальную версию продукта.

[2023.35.0] - 2023-08-31

  • Добавлена история SCA сканирований в проекте
  • На странице проекта информация модулей SCA и TQI теперь отображается в отдельных вкладках
  • Добавлено отображение частей CVSS векторов в списке уязвимостей
  • Добавлено новое условие политики "Vulnerability has fixed version"
  • Добавлено поле CWE в экспорт CSV-таблицы уязвимостей
  • Добавлен баннер CodeScoring и логирование версии в консоль при запуске Docker-контейнера с инсталляцией
  • Добавлены метрики количества запущенных анализов для Prometheus
  • Удален deprecated endpoint /api/policy_alerts/ignored/
  • Удален deprecated endpoint /api/policy_alerts/resolved/
  • Удален deprecated endpoint /api/policy_alerts/
  • Исправлен вывод технологий на списке Policy ignores
  • Исправлена работа политики по purl и CVSS для rpm
  • Убран текст лицензий из генерируемых SBoM по проекту

[2023.31.0] - 2023-08-04

  • Ускорена работа CodeScoring OSA

[2023.30.0] - 2023-07-27

  • Добавлена fixed version в таблице Affected dependencies на странице уязвимости
  • Добавлены метрики состояния очередей для Prometheus
  • Перенесена версия инсталляции из футера в боковое меню
  • Исправлено несоответствие Swagger-схемы с API
  • Убрана возможность нажать кнопку Upload SBOM без наличия прикрепленного файла

[2023.26.0] - 2023-06-30

  • Добавлена поддержка системных пакетов для OSA-плагина в NXRM
  • Добавлены новые условия политики - по наличию эксплойта уязвимости и частям CVSS-вектора
  • Добавлен вывод названия политики, stage и level в список Policy alerts на странице проекта
  • Добавлен фильтр по типу проекта в списке проектов
  • Пометили метод /api/dependencies/csv/ как устаревший. Теперь надо использовать /api/dependencies/by_project/csv/
  • Исправлена ошибка при добавлении проекта без предварительного создания VCS
  • Исправлено отображение информации о stages на карточке описания политики для уровня доступа User

[2023.24.0] - 2023-06-13

  • Добавлен фильтр для поиска по названию политик в разделе Policies
  • Исправлен экспорт зависимостей с пустым фильтром

[2023.22.0] - 2023-06-01

  • Исправлена загрузка SBOM в формате CycloneDX, полученного от Microsoft.SBOMTool
  • Исправлена обработка дробного рейтинга уязвимости при формировании SBOM

[2023.21.3] - 2023-05-30

  • Исправлена загрузка SBOM в формате CycloneDX, полученного с помощью сторонних инструментов
  • Ускорена загрузка страниц Code Clones

[2023.21.2] - 2023-05-23

  • Добавлена возможность загрузки и скачивания SBOM по проекту в формате CycloneDX
  • Добавлена возможность проведения анализа на CLI-проекте через интерфейс
  • Добавлено ручное обновление кода проекта в настройках
  • Добавлена возможность подключения нескольких VCS с одним адресом, но разными токенами
  • Добавлена поддержка basic auth для интеграции с Jira
  • Исправлен вывод списка лицензий на графике
  • Исправлено появление дубликатов алертов при большой нагрузке

[2023.15.0] - 2023-04-14

  • Добавлен новый тип проектов без привязки к репозиторию — CLI
  • Добавлена группировка Policy alerts в дайджесты для уведомлений через email
  • Добавлен поиск по названию политики и имени зависимости в Policy alerts
  • Добавлены рекомендации по устранению уязвимостей (fixed version)
  • Добавлена поддержка разбора пакетов в форматах deb/apk/rpm
  • Добавлен вывод предложения обновить страницу, если версия клиента отличается от версии сервера
  • Добавлены незначительные улучшения в UI

[2023.11.0] - 2023-03-16

  • Исправлена долгая загрузка графика Distribution by license на Dashboard
  • Добавлено поле Note к Policy ignore
  • Добавлено поле Description к Policy
  • Добавлен новый уровень доступа Auditor
  • Добавлена настройка времени жизни сессии через переменную окружения
  • Добавлены ссылки на граф зависимостей

[2023.6.0] - 2023-02-10

  • Добавлены графы зависимостей проекта (ссылка есть на странице проекта)
  • Добавлена опция отключения сбора хешей во время SCA на инсталляции
  • Добавлен кеш ответов Index API для OSA (по-умолчанию от 1 часа до 1.5 часов, настраивается через переменные окружения)
  • Дополнена информация об ограничениях в использовании OSSIndex
  • Запуск массового SCA теперь логируется в Audit log
  • Для Swagger больше не нужен интернет
  • Изменен путь до статики из бекенда (требуется поправить docker-compose.yaml)
  • Исправлена ошибка, из-за которой в одноименных пакетах (с разными версиями), находящихся в разных манифестах, неправильно отображалась информация о файле, в котором пакет найден

[2022.49.1] - 2022-12-07

  • Исправлена работа страницы проекта

[2022.49.0] - 2022-12-07

  • Добавлены события логина в Audit log
  • Добавлена обработка ноды unresolved
  • Добавлено новое условие в политиках на отсутствие версии компонента
  • Изменено API инсталляции
  • Исправлена работа анализа при отсутствии env в графе зависимостей

[2022.48.2] - 2022-12-04

  • Добавлена поддержка modern yarn
  • Изменен механизм отнесения зависимостей к прямым
  • Добавлена секция unresolved для зависимостей, которые есть в lock файле, но не имеют родительского компонента

Консольный агент Johnny

[2024.7.0] – 2024-02-12

  • Уменьшен размер Docker-образа с агентом
  • Исправлена ошибка при хэшировании пустых файлов

[2024.5.0] – 2024-01-31

  • Добавлена поддержка Scala
  • Добавлен резолв зависимости в go окружении (--go-resolve)
  • Добавлен резолв зависимости в maven окружении (--maven-resolve)
  • Добавлен резолв зависимости в gradle окружении (--gradle-resolve)
  • Добавлен резолв зависимости в yarn окружении (--yarn-resolve)
  • Улучшены сообщения об ошибках в параметрах запроса
  • Добавлены переменные URL (cli.api_url) и TOKEN (cli.api_token) инсталляции в конфиг
  • В summary теперь считается количество уязвимостей, а не пакетов
  • Увеличена ширина таблиц при невозможности определения ширины терминала

[2023.49.0] – 2023-12-08

  • Добавлена поддержка разбора манифестов Rust cargo.lock и cargo.toml
  • Добавлен параметр --no-recursion для выключения рекурсивного скана команды scan dir

[2023.48.0] – 2023-11-22

  • Добавлена настройка формата вывода таблицы с результатами -f --format (с возможностью отключения цветов)
  • Добавлена настройка группировки уязвимостей в выводе -g --group-vulnerabilities-by
  • Добавлена настройка сортировки уязвимостей в выводе -s --sort-vulnerabilities-by
  • Добавлена настройка ограничения по времени ожидания анализа -t --timeout

[2023.43.0] – 2023-10-27

  • В консольный вывод добавлена сводная информацию о степени критичности уязвимостей
  • Исправлен разбор манифестов .gradle.kts

[2023.38.0] - 2023-09-20

  • Улучшен разбор манифестов package.json и composer.json

[2023.35.0] - 2023-08-31

  • Улучшен парсинг поля environment для манифестов Gemfile и Gemfile.lock
  • Убрано автоматическое объединение ячеек с одинаковым значением CVSS в таблице с уязвимостями

[2023.33.0] - 2023-08-17

  • Оптимизирован вывод таблиц в консоль на малых экранах

[2023.30.0] - 2023-07-27

  • Добавлен парсинг conanfile.py для Conan
  • Добавлена индикация активного процесса анализа в виде progress bar
  • Добавлено табличное отображение для вывода алертов и уязвимостей в консоль
  • Унифицирована обработка слэша в конце строки для команды scan dir

[2023.27.0] - 2023-07-06

  • Исправлен panic при анализе некоторых Go проектов
  • Исправлено сканирование образов в части некорректного определения компонентов, которые не являются зависимостями

[2023.26.0] - 2023-06-30

  • Улучшен парсинг gradle-dependency-tree в части работы со строками classPath
  • Исправлен вывод Policy Alerts в консоль

[2023.23.0] - 2023-06-08

  • Добавлен парсинг разных версий формата conan.lock
  • Исправлено сбрасывание признака парсера по достижении пустой строки в conanfile.txt
  • Исправлен парсинг yarn.lock

[2023.21.0] - 2023-05-23

  • Добавлен параметр запуска --scan-depth для настройки глубины сканирования архивов
  • Добавлен флаг --scan-files в команде scan image для сканирования файлов внутри docker-образа
  • Улучшено определение вложенных зависимостей jar-пакетов
  • Исправлен парсинг Gemfile

[2023.15.0] - 2023-04-14

  • Добавлен вывод Fixed version
  • Добавлена возможность сохранения результатов сканирования
  • Добавлена возможность создания проекта
  • Добавлен поиск системных зависимостей в docker-образе
  • Оптимизирован парсинг package-lock v3 манифеста для NPM
  • Исправлены некоторые ошибки

[2023.11.0] - 2023-03-16

  • Добавлена поддержка консольных команд
  • Улучшен разбор pyproject.toml
  • Добавлена очистка /tmp директории после сканирования docker образа

[2023.5.0] - 2023-02-01

  • Добавлено сканирование docker-образов
  • Изменено поведение при запуске без проекта
  • Обновлен Golang до 1.19
  • Исправлено хеширование в архивах с опцией --only-hashes
  • Исправлено определение битых и запароленных архивов

[2023.3.0] - 2023-01-20

  • Исправлена ошибка при парсинге gradle-dependency-tree

[2023.2.0] - 2023-01-13

  • Добавлено сканирование архивов, флаг для запуска --scan-archives

[2022.52.0] - 2022-12-30

  • Исправлен парсинг pom.xml в части работы с секцией dependencyManagement

[2022.50.0] - 2022-12-12

  • Добавлена поддержка парсинга conan.lock файлов
  • Исправлена передача дополнительных данных для резолвера из Nuget манифестов

Nexus OSA

[2024.7.0] – 2024-02-17

  • Добавлена ссылка на страницу в CodeScoring в сообщении о заблокированном компоненте
  • Добавлено сообщение о блокировке для ситуаций, когда registry не добавлен в CodeScoring

[2024.2.0] – 2024–01-12

  • Расширен перечень архитектур образов
  • Добавлена поддержка новых статусов блокировки компонентов

[2023.48.0] – 2023-11-22

  • Добавлен новый режим работы spectator
  • Добавлена поддержка сканирования мультиплатформенных Docker-образов

[2023.44.0] – 2023-10-31

  • Добавлена поддержка сканирования proxy Docker репозиториев на базе Sonatype Nexus и JFrog Artifactory

[2023.43.0] – 2023-10-27

[2023.40.0] - 2023-10-04

  • Добавлена Capability для проверки образов из Hosted Docker Repository

[2023.37.0] - 2023-09-11

  • Исправлена ошибка сохранения результатов сканирования при отсутствии обязательных полей

[2023.36.0] - 2023-09-05

  • Добавлена опция блокировки сборки при получении ошибки взаимодействия с инсталляцией CodeScoring

[2023.33.0] - 2023-08-15

  • Добавлена опция сохранения результатов сканирования артефакта в базу Nexus
  • Добавлен метод в API для извлечения результатов сканирования артефакта

[2023.26.0] - 2023-06-30

  • Добавлена поддержка сканирования open-source компонентов в hosted репозиториях

[2023.6.2] - 2023-02-09

  • Добавлена настройка прокси-сервера в конфигурации плагина

[2023.6.0] - 2023-02-07

  • Добавлен параметр HTTP Client Connection Pool Size в конфигурации плагина для управления количеством запросов к инсталляции

[2023.4.0] - 2023-01-24

  • Улучшен парсинг компонентов RubyGems

[2022.51.0] - 2022-12-20

JFrog OSA

[2024.5.0] – 2024-02-02

  • Добавлена обработка zip-архивов в golang репозиториях
  • Улучшена работа с debian пакетами
  • Исправлена ошибка проверки alpine пакетов
  • Исправлено сканирование артифактов в virtual репозиториях

[2024.2.0] – 2024-01-12

  • Расширен перечень архитектур образов
  • Добавлена поддержка новых статусов блокировки компонентов
  • Добавлено логирование тела запроса на загрузку компонента и ответа
  • Исправлена ошибка блокирования пакетов в debug режиме

[2023.50.0] – 2023-12-15

  • Добавлен новый режим работы spectator
  • Добавлена поддержка сканирования мультиплатформенных Docker-образов
  • Файл для настройки плагина теперь использует формат .yaml
  • Добавлена возможность указания режима работы на каждый репозиторий отдельно
  • Добавлена возможность изменения значений по умолчанию в файле для настройки
  • Добавлен параметр HTTP Client Connection Pool Size для управления количеством запросов к инсталляции
  • Добавлен параметр выключения плагина

[2023.48.0] – 2023-11-23

  • Добавлен вывод конфига в лог при старте плагина

[2023.43.0] – 2023-10-27

[2023.28.2]

  • Добавлен префикс CodeScoring: ко всем логам

[2023.28.1]

  • Понижен уровень всех ошибок взаимодействия с инсталляцией CodeScoring до [INFO]

[2023.28.0]

  • Исправлена ошибка с неработающим флагом blockDownloads в properties

[2023.27.0]

  • Добавлен флаг blockDownloads в properties, который позволяет контролировать загрузку пакета при наличия ошибок CodeScoring API или плагина

[2023.26.0]

  • Исправлено сохранение properties пакета при его скачивании из virtual-репозитория

[2023.22.0]

  • Исправлена ошибка с обязательным полем project_name в OSA API

[2023.21.0]

  • Изменен формат поставки плагина: теперь он поставляется в виде jar-файла
  • Изменена инициализация плагина: вместо перезагрузки на каждый запрос происходит единоразовая инициализация при запуске