Соответствие стандартам¶
Платформа CodeScoring помогает организациям соответствовать стандартам безопасной разработки и требованиям регуляторов.
Система покрывает ключевые практики безопасной разработки, включая контроль качества исходного кода, контроль безопасности стороннего ПО, поиск уязвимостей, поиск конфиденциальной информации (секретов) и реагирование на инциденты безопасности в цепочке поставок.
ГОСТ Р 56939–2024¶
ГОСТ Р 56939–2024 «Разработка безопасного программного обеспечения. Общие требования» регламентирует этапы, требования и методы безопасной разработки программного обеспечения, включая архитектурные практики, анализ кода и обработку зависимостей.
CodeScoring обеспечивает выполнение 8 пунктов стандарта из 25:
| Требование | Модуль реализации | Комментарий |
|---|---|---|
| 5.9 Экспертиза исходного кода | CodeScoring.TQI | Обеспечивается автоматизированная экспертиза качества кода с использованием метрик (цикломатическая сложность, дублирование, динамика изменений). Поддерживается системная оценка качества и сопровождения кода в процессе разработки. |
| 5.12 Использование безопасной системы сборки ПО 5.13 Обеспечение безопасности сборочной среды ПО |
CodeScoring.OSA, CodeScoring.SCA | Анализируются зависимости, применяемые при сборке, выявляются небезопасные компоненты. Контроль состава ПО выполняется до запуска сборки, что позволяет снизить риск привнесения уязвимостей и ошибок со стороны системы и среды сборки в соответствии с целями 5.12.1.1 и 5.13.1.1. |
| 5.15 Безопасность используемых секретов | CodeScoring.Secrets | Выполняется поиск ключей, паролей, токенов и других секретов в исходном коде, истории коммитов и конфигурационных файлах. Применяются методы машинного обучения для снижения числа ложноположительных срабатываний. |
| 5.16 Композиционный анализ | CodeScoring.SCA | Выполняется анализ всех зависимостей, включая транзитивные, с определением их источников, лицензий и известных уязвимостей. Формируется и актуализируется перечень зависимостей (ППК, SBoM), что обеспечивает контроль состава, выявление уязвимостей и применение корректирующих мер в цепочке поставок. |
| 5.17 Проверка на внедрение вредоносного ПО через цепочку поставок | CodeScoring.OSA, CodeScoring.SCA | Обеспечивается контроль сторонних библиотек и компонентов, используемых в проекте. Реализуется: • 5.17.2.4 – выявление и контроль предсобранного ПО поставщика; • 5.17.2.5 – анализ зависимостей на предмет внедрения вредоносного кода (за исключением антивирусной проверки, которая относится к дополнительным средствам защиты). |
| 5.23 Реагирование на информацию об уязвимостях | CodeScoring.OSA, CodeScoring.SCA, CodeScoring.Secrets | Обеспечивается регулярное обновление базы уязвимостей и автоматическое оповещение о новых рисках. Поддерживается интеграция с корпоративными системами (почта, менеджер задач), что позволяет инициировать своевременное реагирование в рамках политики безопасности организации. |
| 5.24 Поиск уязвимостей при эксплуатации | CodeScoring.SCA | Реализована возможность регулярной перепроверки выпущенных сборок для рекуррентного поиска уязвимостей. Выполняются оповещения о новых уязвимостях в рамках анализа исходного кода, контейнерных образов и SBOM-файлов на этапе эксплуатации. |
Более подробно ознакомиться с функциональностью платформы можно в разделе Функциональные характеристики.