Работа с фидом protestware¶
С апреля 2022 года команда CodeScoring начала отслеживать случаи включения protestware в открытые программные компоненты. В дополнение к открытым данным, дополнительные механизмы идентификации подобных пакетов были внедрены в версии CodeScoring 2022.49.0.
Начиная с версии 2025.21.0, платформа поддерживает собственный централизованный фид на уровне базы знаний CodeScoring Index для обнаружения protestware. Этот фид регулярно обновляется и позволяет автоматически выявлять подобные компоненты в рамках модулей CodeScoring.OSA и CodeScoring.SCA.
Что такое protestware?¶
Protestware – это компоненты, содержащие компрометирующие противоправные конструкции, представленные в исходном коде или сопутствующих данных. Такое ПО может изменять свое поведение или являться предпосылкой к появлению недекларированных возможностей.
Open Source Initiative рассматривает protestware как угрозу нейтральности и воспроизводимости открытого ПО.
Настройка политики¶
Для проверки protestware в сторонних компонентах CodeScoring имеет встроенную политику безопасности.
Для ее активации необходимо зайти на форму в разделе Настройки -> Политики и указать условие Зависимость является протестным ПО
При необходимости можно установить признак Блокер, чтобы сделать политику блокирующей – при срабатывании такого условия сборка ПО и загрузка компонента из прокси-репозитория будут прерваны.
Важно: применение блокирующего признака рекомендуется только после предварительной оценки влияния (проведения инвентаризации компонентов), так как это может повлиять на процесс разработки.
Результаты анализа¶
Угрозы, связанные с protestware, помечаются идентификатором CSPW в разделе Уязвимости. Перейдя на страницу отдельной записи, можно увидеть детальную информацию о компоненте, характере угрозы и затронутой части кодовой базы.
Если настроена соответствующая политика безопасности, срабатывания по ней фиксируются в разделе Алерты. В поле Условия политики отображается конкретное основание для срабатывания, например: