CodeScoring представила OSA Proxy для защиты цепочки поставок ПО

Екатерина Быстрова 15 Декабря 2025 - 20:54

Управление процессами безопасной разработки (ASOC)

Безопасная разработка приложений (DevSecOps)

...

CodeScoring представила OSA Proxy для защиты цепочки поставок ПО

Платформа CodeScoring представила новый сервис OSA Proxy — инструмент для контроля безопасности компонентов с открытым исходным кодом ещё до того, как они попадут в корпоративную инфраструктуру. Решение стало частью модуля CodeScoring.OSA и ориентировано на защиту цепочки поставок ПО на самом раннем этапе разработки.

В отличие от классического подхода, когда композиционный анализ проводится уже после загрузки зависимостей, OSA Proxy работает в момент установки пакетов.

Сервис перехватывает запросы пакетных менеджеров к внешним индексам и проверяет сторонние компоненты на соответствие заданным политикам безопасности. Если версия пакета признана небезопасной, её можно заблокировать ещё до появления в среде разработки.

OSA Proxy поддерживает популярные экосистемы и репозитории, включая Maven Central, NPM, PyPI, NuGet, Go Modules и пакеты Debian, а также альтернативные хранилища, совместимые с официальными спецификациями. При этом сервис не привязан к конкретным хранилищам артефактов и может работать как с ними, так и вовсе без них — в зависимости от того, как устроена инфраструктура в компании.

Технически решение выступает в роли прокси между пакетным менеджером и внешним репозиторием. Оно может фильтровать небезопасные версии, изменять ответы репозиториев, пересчитывать контрольные суммы и перенаправлять ссылки, сохраняя корректность форматов и стабильность работы сборки. Предусмотрены разные режимы использования — от пассивного мониторинга до активной блокировки компонентов.

Сканирование выполняется как на уровне манифестов зависимостей, так и для отдельных пакетов. В основе сервиса лежит асинхронная модель обработки запросов и механизм автоматических повторов, что позволяет ему устойчиво работать при высокой нагрузке или временных сбоях внешних сервисов.

OSA Proxy доступен всем пользователям модуля CodeScoring.OSA и ориентирован на компании, которые хотят усилить контроль за использованием open source без серьёзных изменений в существующих процессах разработки и инфраструктуре.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Апреля 2026 - 10:46

Уязвимости программ Общее Защита персональных данных

Дуров сетует: приложение ЕС для проверки возраста взломали за две минуты

Сооснователь Telegram Павел Дуров резко раскритиковал новое европейское приложение для проверки возраста пользователей. По его словам, решение, представленное Еврокомиссией как приватный и безопасный инструмент, якобы удалось взломать всего за две минуты.

Дуров ссылается на публикацию Cybernews, однако саму историю он подал довольно жёстко: такой сценарий может со временем превратить систему проверки возраста в более жёсткий механизм цифрового контроля.

Поводом для спора стал свежий анонс Еврокомиссии. 15 апреля она объявила, что европейское приложение для проверки возраста технически готово и вскоре станет доступно гражданам.

В Брюсселе подают этот инструмент как способ защитить детей в интернете и при этом не заставлять платформы собирать лишние персональные данные. Еврокомиссия отдельно подчёркивает, что решение должно помогать подтверждать возраст с сохранением конфиденциальности пользователя.

Дуров, впрочем, увидел в этой истории совсем другую логику. В своём телеграм-канале он написал, что сначала пользователям показывают приложение, которое якобы уважает приватность, затем оно быстро компрометируется, а после этого появляется предлог ослабить конфиденциальность ради «исправления» проблемы. В его трактовке это может привести к созданию инструмента слежки за пользователями соцсетей в странах ЕС.

Сама идея проверки возраста сейчас становится для ЕС всё более важной. Еврокомиссия продвигает её как часть более широкой политики по защите несовершеннолетних в интернете, особенно на платформах с потенциально опасным или взрослым контентом.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!