Описание системы CodeScoring

CodeScoring — это платформа для анализа ПО, которая выявляет зависимости, уязвимости, заимствования в коде и оценивает качество разработки. Программный продукт CodeScoring (рус. КодСкоринг) от компании-разработчика Профископ предназначен для композиционного анализа программного обеспечения, контроля совместимости лицензий открытого ПО и оценки качества разработки. Продукт позволяет выявлять зависимости от OSS-компонентов, анализировать уязвимости, оценивать сложность сопровождения проектов, строить профили разработчиков и проектов, а также отслеживать заимствования в коде.

Система CodeScoring ориентирована на руководителей ИТ-департаментов, архитекторов программного обеспечения, специалистов по информационной безопасности и менеджеров проектов в компаниях, которые занимаются разработкой программного обеспечения и активно используют компоненты с открытым исходным кодом, в том числе в крупных корпорациях, финтех-стартапах, организациях сферы электронной коммерции и других отраслях с высокой степенью цифровизации.

Система CodeScoring подходит компаниям, которые стремятся минимизировать риски, связанные с использованием сторонних программных компонентов, оптимизировать процессы разработки, повысить качество кода и обеспечить соответствие лицензионным требованиям, особенно в условиях масштабных проектов и распределённых команд разработчиков.

Функциональные возможности CodeScoring:

• Анализ языков программирования и пакетных менеджеров. Платформа поддерживает анализ 18 языков программирования и манифестов пакетных менеджеров (Maven, Gradle, NPM, NuGet, Conda, PyPi, Ruby Gems, Cocoapods, Packagist, CONAN), что позволяет эффективно работать с различными технологическими стеками и управлять зависимостями в проектах.

• Обнаружение OSS-зависимостей. CodeScoring выявляет прямые и транзитивные зависимости от открытого программного обеспечения (OSS) по файлам конфигураций и метаданным, используя алгоритмы гибкого поиска, что помогает контролировать состав используемых компонентов и их версии.

• Работа с лицензиями OSS. Платформа определяет лицензии для найденных зависимостей, проверяет их совместимость и учитывает особенности лицензий в соответствии с политикой вендора, снижая риски нарушения лицензионных соглашений.

• Идентификация и устранение уязвимостей. CodeScoring выявляет уязвимости в OSS-компонентах, даёт рекомендации по их устранению и информирует о новых уязвимостях в рамках пост-релизного мониторинга, повышая тем самым безопасность проектов.

• Оценка качества исполнения проектов. Платформа строит профили проектов и разработчиков, анализируя объём работ и качество изменений, что позволяет оценивать эффективность работы команд и отдельных специалистов.

• Анализ заимствований в коде. CodeScoring ищет дубликаты кода внутри и между проектами, определяет объём заимствований, строит интерактивные карты и привязывает авторство к найденным дубликатам, помогая выявлять потенциальные проблемы с уникальностью кода.

• Оценка сложности сопровождения проекта. Платформа рассчитывает цикломатическую сложность кода в разрезе проекта и авторов, что позволяет прогнозировать трудозатраты на поддержку и развитие программного продукта.