• Русский

    • Соответствие стандартам

    Платформа CodeScoring помогает организациям соответствовать стандартам безопасной разработки и требованиям регуляторов.

    Система покрывает ключевые практики безопасной разработки, включая контроль качества исходного кода, контроль безопасности стороннего ПО, поиск уязвимостей, поиск конфиденциальной информации (секретов) и реагирование на инциденты безопасности в цепочке поставок.

    ГОСТ Р 56939–2024

    ГОСТ Р 56939–2024 «Разработка безопасного программного обеспечения. Общие требования» регламентирует этапы, требования и методы безопасной разработки программного обеспечения, включая архитектурные практики, анализ кода и обработку зависимостей.

    CodeScoring обеспечивает выполнение 8 пунктов стандарта из 25:

    ТребованиеМодуль реализацииКомментарий
    5.9 Экспертиза исходного кодаCodeScoring.TQIОбеспечивается автоматизированная экспертиза качества кода с использованием метрик (цикломатическая сложность, дублирование, динамика изменений). Поддерживается системная оценка качества и сопровождения кода в процессе разработки.
    5.12 Использование безопасной системы сборки ПО
    5.13 Обеспечение безопасности сборочной среды ПО    		CodeScoring.OSA, CodeScoring.SCA, CodeScoring.SaveАнализируются зависимости, применяемые при сборке, выявляются небезопасные компоненты. Контроль состава ПО выполняется до запуска сборки, что позволяет снизить риск привнесения уязвимостей и ошибок со стороны системы и среды сборки в соответствии с целями 5.12.1.1 и 5.13.1.1.
    5.15 Безопасность используемых секретовCodeScoring.SecretsВыполняется поиск ключей, паролей, токенов и других секретов в исходном коде, истории коммитов и конфигурационных файлах. Применяются методы машинного обучения для снижения числа ложноположительных срабатываний.
    5.16 Композиционный анализCodeScoring.SCAВыполняется анализ всех зависимостей, включая транзитивные, с определением их источников, лицензий и известных уязвимостей. Формируется и актуализируется перечень зависимостей (ППК, SBOM), что обеспечивает контроль состава, выявление уязвимостей и применение корректирующих мер в цепочке поставок.
    5.17 Проверка на внедрение вредоносного ПО через цепочку поставокCodeScoring.OSA, CodeScoring.SCA, CodeScoring.SaveОбеспечивается контроль сторонних библиотек и компонентов, используемых в проекте. Реализуется:
    5.17.2.4 – выявление и контроль предсобранного ПО поставщика;
    5.17.2.5 – анализ зависимостей на предмет внедрения вредоносного кода (за исключением антивирусной проверки, которая относится к дополнительным средствам защиты).
    5.23 Реагирование на информацию об уязвимостяхCodeScoring.OSA, CodeScoring.SCA, CodeScoring.SecretsОбеспечивается регулярное обновление базы уязвимостей и автоматическое оповещение о новых рисках. Поддерживается интеграция с корпоративными системами (почта, менеджер задач), что позволяет инициировать своевременное реагирование в рамках политики безопасности организации.
    5.24 Поиск уязвимостей при эксплуатацииCodeScoring.SCAРеализована возможность регулярной перепроверки выпущенных сборок для рекуррентного поиска уязвимостей. Выполняются оповещения о новых уязвимостях в рамках анализа исходного кода, контейнерных образов и SBOM-файлов на этапе эксплуатации.

    Более подробно ознакомиться с функциональностью платформы можно в разделе Функциональные характеристики.

    Страница была полезна?