Перейти к содержанию

Johnny Changelog

[2025.29.1] - 2025-07-18

Исправлено

  • Исправлена ошибка при выгрузке результатов в формате junit

[2025.29.0] - 2025-07-16

Добавлено

  • Добавлен разбор зависимостей, объявленных в объединенном формате в файле build.gradle
  • Добавлена команда sign bom для подписи SBoM файлов
  • Добавлена команда verify bom для проверки подлинности подписи SBoM файла
  • Добавлена работа с предопределенной задачей CodeScoring_All_Dependencies для корректного разрешения зависимостей в мультимодульных проектах окружения gradle
  • Добавлен параметр project-proprietor для привязки сканируемого проекта к подразделению (начиная с версии 2025.29.0 инсталляции)
  • Добавлена поддержка алиасов для yarn.lock и pnpm-lock.json
  • Добавлена поддержка отчетов для алертов в форматах coloredtable, table, text, json, csv. Формат управляется параметром --alerts-format
  • Добавлены флаги --branch-or-tag и --commit в команды scan build и scan build ebpf
  • Добавлена выгрузка признака HasExploit в формат sarif
  • Добавлен вывод информации о лицензиях в форматы text, table, coloredtable
  • Добавлена выгрузка данных Relation, Parents, Match type, Env в формат CSV
  • Добавлена возможность передавать флаги пакетным менеджерам при разрешении зависимостей
  • Добавлен вывод предупреждения об ошибках парсинга в процессе сканирования
  • Добавлена поддержка групп зависимостей с произвольным названием в pyproject.toml
  • Добавлена возможность передачи SHA-хэша образа в параметре --hash команды scan image (начиная с версии 2025.29.0 инсталляции)
  • Добавлена проверка на доступность команды dir локальной версии gitleaks

Изменено

  • Отключен запуск парсера в окружении pip по умолчанию в команде scan python. Включается явно флагом --pip-resolve
  • Улучшена работа команды scan build ebpf

Исправлено

  • Исправлено поведение игнорирования для пустых значений параметра --ignore
  • Исправлена ошибка определения relation зависимости при разборе пары манифестов package.json и yarn.lock
  • Исправлено определение окружения в случаях, когда зависимость одной и той же версии представлена в нескольких окружениях
  • Исправлено попадание poetry-core из секции build-system в список зависимостей при парсинге манифеста pyproject.toml

[2025.21.0] - 2025-05-21

  • Добавлена команда scan build ebpf для сканирования сборки C/C++ проектов с использованием eBPF
  • Добавлена выгрузка в sarif данных о связи зависимости в рамках проекта, прямая или транзитивная, в формате: results.properties.relation: direct|indirect
  • Добавлено игнорирование закомментированных строк при разборе файлов conanfile.py
  • Исправлено определение версии из требований вида ==3.0.0.post1 манифестов Python
  • Исправлена выгрузка в sarif уязвимостей, у которых указана критичность без численной оценки
  • Исправлен парсинг в окружении Go: транзитивные зависимости, для которых не удалось определить родительский пакет, исключаются из результатов сканирования

[2025.13.0] - 2025-03-28

  • Добавлена обработка поврежденных файлов scala-dependency-tree.txt
  • Добавлена поддержка парсинга манифестов экосистемы Swift: Package.swift и Package.resolved (начиная с версии 2025.13.0 инсталляции)
  • Добавлена бета-версия работы консольного агента с модулем Secrets (начиная с версии 2025.13.0 инсталляции)
  • Добавлен разбор зависимостей, объявленных в необъединенном формате в файле build.gradle.kts
  • Добавлено игнорирование .nuspec файлов в команде scan csharp
  • Добавлена поддержка операционных систем семейства AltLinux в команде scan build
  • Исключены из сканирования архивы Java при неактивном флаге --scan-archives
  • Исправлен импорт SBoM в котором у библиотеки указано несколько значений свойства env
  • Исправлена обработка SBoM-файлов в формате CycloneDX, содержащих информацию о компонентах внутри компонентов

[2025.7.0] - 2025-02-13

  • Добавлены команды сканирования директории с предзаданными настройками в зависимости от выбранной технологии (например, ./johnny scan java)
  • Добавлен вывод информации о наличии Exploit для уязвимостей в результаты работы агента
  • Добавлен параметр --cloud-resolve для активации облачного резолва (совместимо c инсталляцией версии 2025.7.0 и выше)
  • Добавлена поддержка механизма Selective dependency resolutions для Yarn
  • Добавлена поддержка механизма NPM Package Aliases для package-lock.json
  • Оптимизирована обработка больших файлов gradle-dependency-tree.txt
  • Исправлена ошибка в определении версий пакетов в файле gradle.lockfile при наличии в версии суффикса

[2024.52.2] - 2025-01-23

  • Исправлено поведение агента, приводящее к росту очереди tasks-policy на инсталляции

[2024.52.1] - 2025-01-16

  • Исправлена обработка нескольких файлов gradle.lockfile на один модуль

[2024.52.0] - 2024-12-24

  • Добавлена команда scan build для анализа сборки для языков C и C++
  • Добавлены новые форматы выгрузки результатов работы: GitLab Dependency Scanning Report и GitLab Code Quality Report
  • Добавлена обработка параметра --ignore при сканировании архивов и файлов внутри образов
  • Добавлена возможность указания ссылки на ветку/тэг и коммита параметрами branch-or-tag и commit при сканировании файла и каталога (при взаимодействии с инсталляцией версии 2024.52.0 и выше)
  • Добавлена возможность указания хэша параметром hash при сканировании образов (при взаимодействии с инсталляцией версии 2024.52.0 и выше)
  • Добавлена возможность указания policy stage при создании CLI проекта (при взаимодействии с инсталляцией версии 2024.52.0 и выше)
  • Добавлено указание путей к манифестам внутри сканируемых образов, в которых найдена информация об уязвимом пакете
  • Добавлены пути к манифестам, в которых найден уязвимый пакет, в формат sarif
  • Исправлено аварийное завершение при обработке некорректного файла в формате yaml
  • Добавлена обработка ошибки, возникающей в случае, когда файл был удален в процессе сканирования
  • Исправлено наличие лишних символов при выгрузке в формат sarif
  • Исправлено определение окружения при анализе манифестов Poetry
  • Исправлено сканирование образов на основе RedHat

[2024.48.2] - 2024-12-13

  • Исправлено аварийное завершение при обработке некоторых файлов gradle-dependency-tree.txt
  • Исправлен парсинг lock-файлов npm и yarn в паре с манифестом

[2024.48.1] - 2024-12-10

  • Добавлена поддержка множественности версий одного пакета в файле poetry.lock
  • Добавлена возможность запуска без ожидания результатов анализа (параметр --no-wait)

[2024.48.0] – 2024-11-29

  • Добавлена поддержка парсинга манифестов экосистемы Conda: environment.yml, meta.yml, conda-lock.yml
  • Добавлена поддержка парсинга компонентов Conda в окружении сборки
  • Добавлен вывод предупреждения для пакетов с невалидным именем
  • Улучшено построение графа зависимостей для форматов, допускающих несколько версий одного пакета
  • Улучшено построение графа зависимостей при наличии обоих файлов пары манифест-локфайл
  • Исправлены ошибки формирования PURL и версий go пакетов при сканировании Docker образов
  • Исправлена обработка SBoM файлов в формате CycloneDX, содержащих информацию в полях components[i].evidence.identity
  • Изменена логика формирования свойства distro для PURL пакетов ALT Linux при сканировании Docker образов
  • В выгрузку в формате sarif добавлена информация о Location и Fixed Version уязвимости

[2024.44.1] - 2024-11-15

  • Исправлена ошибка с пропуском gem пакетов в команде scan bom
  • Исправлена работа флага ignore на ОС Windows
  • Исправлена ошибка в работе парсера в окружении Go на проектах без зависимостей

[2024.44.0] - 2024-11-02

  • Добавлен парсинг манифестов pnpm-lock.yaml. Поддерживаемые версии: 5.0-5.4, 6.0, 9.0
  • Добавлен парсинг в окружении pnpm
  • Учтено использование файла конфигурации pnpm-workspaces.yaml при парсинге package.json
  • Добавлена возможность указать группу при создании CLI проекта, доступно только для пользователей с ролью администратора
  • Добавлена возможность указания формата генерируемого SBoM с помощью параметра --bom-format (начиная с версии on-premise 2024.44.1)
  • Реализован парсинг в окружении pip
  • Реализован парсинг в окружении composer
  • При разрешении зависимостей в окружении go улучшен механизм определение родительской библиотеки для транзитивных зависимостей, полученных из тестового окружения
  • Исправлена ошибка unsupported type для composer компонентов в команде scan bom

[2024.40.2] - 2024-10-18

  • Исправлено построение графа зависимостей в случаях, когда компонент встречается несколько раз с разным bom-ref

[2024.40.1] - 2024-10-10

  • Добавлено слияние результатов парсинга pom.xml и mvn-dependency-tree.txt для исключения лишнего резолва зависимостей
  • Исправлена ошибка в проверке наличия лок-файла при использовании разрешения зависимостей в окружении

[2024.40.0] - 2024-10-02

  • Добавлен разбор workspaces в парсинг манифестов npm
  • Исправлена работа парсера Gemfile.lock для случаев с несколькими секциями Gem

[2024.39.0] - 2024-09-23

  • Разделены тэги при выгрузке в формате sarif для отображения в DefectDojo всех версий найденного пакета
  • Изменена выгрузка severity в формате sarif для корректного отображения СVSS3 в DefectDojo
  • Исправлена ошибка сканирования SBoM с пакетами Go
  • Исправлена паника при парсинге пустого cargo.lock
  • Убрано дублирование уязвимостей в формате sarif для случаев нескольких версий одного пакета
  • Убрана возможность одновременного использования флагов format и no-summary

[2024.36.0] - 2024-09-05

  • Добавлена возможность настройки используемых парсеров через файл конфигурации
  • Добавлена возможность указания парсера, используемого в команде scan file
  • Исправлен парсинг мультипроектного/модульного gradle-dependency-tree

[2024.35.0] - 2024-08-20

  • Исправлен парсинг gradle-dependency-tree kotlin

[2024.32.0] - 2024-08-09

  • Добавлен анализ стандартных библиотек go в парсер в окружении go (--go-resolve)
  • Добавлена возможность указания лицензии при создании проекта
  • Исправлена ошибка при парсинге pom.xml, который содержит переменные вида xxx.xxx.xxx.xxx
  • Исправлен парсер scala-dependency-tree.txt
  • Исправлена ошибка при сканировании SBoM без секции компонентов

[2024.29.0] – 2024-07-19

  • Добавлена выгрузка ссылок и CWE в формат sarif

[2024.26.0] - 2024-06-24

  • Добавлен парсинг в окружении npm
  • Добавлен парсинг в окружении dotnet
  • Добавили парсинг в окружении poetry
  • Добавлен параметр запуска --block-on-empty-result (возращает код 3 при пустом результате сканирования)
  • Добавлен флаг --python-version для указания версии python в семействе манифестов pypi
  • Исправлено построение графа зависимостей на паре package.json и package-lock.json
  • Улучшен парсинг project.assets.json

[2024.21.0] - 2024-05-24

  • Улучшен парсинг yarn.lock
  • Исправлен парсинг в окружении yarn

[2024.17.0] – 2024-04-27

  • Добавлена сборка Johnny для Mac с процессорами Intel
  • Исправлен парсер scala-dependency-tree

[2024.15.0] – 2024-04-11

  • Добавлена поддержка выгрузки результата сканирования в формате CSV
  • В выгрузку результата сканирования добавлен путь до исходного файла, в котором нашлась зависимость
  • Улучшен поиск .net пакетов при сканировании образов

[2024.13.0] – 2024-03-28

  • Добавлена поддержка выгрузки результатов сканирования в форматах SARIF и XML

[2024.10.2] – 2024-03-07

  • Исправлено объединение lock-файлов с манифестами на Windows

[2024.9.0] – 2024-02-29

  • Исправлено падение при парсинге go.sum

[2024.7.0] – 2024-02-12

  • Уменьшен размер Docker-образа с агентом
  • Исправлена ошибка при хэшировании пустых файлов

[2024.5.0] – 2024-01-31

  • Добавлена поддержка Scala
  • Добавлено разрешение зависимостей в go окружении (--go-resolve)
  • Добавлено разрешение зависимостей в maven окружении (--maven-resolve)
  • Добавлен разрешение зависимостей в yarn окружении (--yarn-resolve)
  • Улучшены сообщения об ошибках в параметрах запроса
  • Добавлены переменные URL (cli.api_url) и TOKEN (cli.api_token) инсталляции в конфиг
  • В summary теперь считается количество уязвимостей, а не пакетов
  • Увеличена ширина таблиц при невозможности определения ширины терминала

[2023.49.0] – 2023-12-08

  • Добавлена поддержка разбора манифестов Rust cargo.lock и cargo.toml
  • Добавлен параметр --no-recursion для выключения рекурсивного скана команды scan dir

[2023.48.0] – 2023-11-22

  • Добавлена настройка формата вывода таблицы с результатами -f --format (с возможностью отключения цветов)
  • Добавлена настройка группировки уязвимостей в выводе -g --group-vulnerabilities-by
  • Добавлена настройка сортировки уязвимостей в выводе -s --sort-vulnerabilities-by
  • Добавлена настройка ограничения по времени ожидания анализа -t --timeout

[2023.43.0] – 2023-10-27

  • В консольный вывод добавлена сводная информацию о степени критичности уязвимостей
  • Исправлен разбор манифестов .gradle.kts

[2023.38.0] - 2023-09-20

  • Улучшен разбор манифестов package.json и composer.json

[2023.35.0] - 2023-08-31

  • Улучшен парсинг поля environment для манифестов Gemfile и Gemfile.lock
  • Убрано автоматическое объединение ячеек с одинаковым значением CVSS в таблице с уязвимостями

[2023.33.0] - 2023-08-17

  • Оптимизирован вывод таблиц в консоль на малых экранах

[2023.30.0] - 2023-07-27

  • Добавлен парсинг conanfile.py для Conan
  • Добавлена индикация активного процесса анализа в виде progress bar
  • Добавлено табличное отображение для вывода алертов и уязвимостей в консоль
  • Унифицирована обработка слэша в конце строки для команды scan dir

[2023.27.0] - 2023-07-06

  • Исправлен panic при анализе некоторых Go проектов
  • Исправлено сканирование образов в части некорректного определения компонентов, которые не являются зависимостями

[2023.26.0] - 2023-06-30

  • Улучшен парсинг gradle-dependency-tree в части работы со строками classPath
  • Исправлен вывод Policy Alerts в консоль

[2023.23.0] - 2023-06-08

  • Добавлен парсинг разных версий формата conan.lock
  • Исправлено сбрасывание признака парсера по достижении пустой строки в conanfile.txt
  • Исправлен парсинг yarn.lock

[2023.21.0] - 2023-05-23

  • Добавлен параметр запуска --scan-depth для настройки глубины сканирования архивов
  • Добавлен флаг --scan-files в команде scan image для сканирования файлов внутри docker-образа
  • Улучшено определение вложенных зависимостей jar-пакетов
  • Исправлен парсинг Gemfile

[2023.15.0] - 2023-04-14

  • Добавлен вывод Fixed version
  • Добавлена возможность сохранения результатов сканирования
  • Добавлена возможность создания проекта
  • Добавлен поиск системных зависимостей в docker-образе
  • Оптимизирован парсинг package-lock v3 манифеста для NPM
  • Исправлены некоторые ошибки

[2023.11.0] - 2023-03-16

  • Добавлена поддержка консольных команд
  • Улучшен разбор pyproject.toml
  • Добавлена очистка /tmp директории после сканирования docker образа

[2023.5.0] - 2023-02-01

  • Добавлено сканирование docker-образов
  • Изменено поведение при запуске без проекта
  • Обновлен Golang до 1.19
  • Исправлено хеширование в архивах с опцией --only-hashes
  • Исправлено определение битых и запароленных архивов

[2023.3.0] - 2023-01-20

  • Исправлена ошибка при парсинге gradle-dependency-tree

[2023.2.0] - 2023-01-13

  • Добавлено сканирование архивов, флаг для запуска --scan-archives

[2022.52.0] - 2022-12-30

  • Исправлен парсинг pom.xml в части работы с секцией dependencyManagement

[2022.50.0] - 2022-12-12

  • Добавлена поддержка парсинга conan.lock файлов
  • Исправлена передача дополнительных данных для резолвера из Nuget манифестов