16.12.2025

Платформа CodeScoring представила OSA Proxy — защиту цепочки поставок ПО без привязки к хранилищам артефактов

Новый сервис позволяет контролировать безопасность компонентов до их попадания в корпоративную инфраструктуру.

В модуле CodeScoring.OSA появился новый сервис OSA Proxy для автоматического сканирования сторонних open-source-компонентов и блокировки небезопасных пакетов при загрузке из внешних пакетных индексов.

OSA Proxy переносит композиционный анализ на самый ранний этап разработки — момент установки пакетов. Это особенно важно в условиях роста атак через цепочку поставок. Чем раньше опасный компонент будет выявлен и заблокирован, тем меньше рисков и затрат для команды разработки и для всей организации.

Как это работает

OSA Proxy перехватывает запросы пакетных менеджеров к внешним индексам (Maven Central, NPM, PyPI, NuGet), проверяет компоненты на соответствие политикам безопасности и может блокировать уязвимые версии ещё до их попадания в корпоративную инфраструктуру. Это особенно ценно для компаний, которым критически важна независимость от западных решений и где выпуск безопасного ПО является приоритетом.

Ключевое преимущество решения — работа без привязки к хранилищам артефактов: сервис эффективен вне зависимости от конкретных решений и может работать в различных сценариях. OSA Proxy поддерживает как распространенные, так и нестандартные и специфические хранилища артефактов, и может работать совсем без хранилищ.

В отличие от локальных решений с плагинами сервис обеспечивает централизованный подход к управлению безопасностью пакетов на уровне всей инфраструктуры.

Алексей Смирнов, основатель платформы безопасной разработки CodeScoring: «OSA Proxy решает критическую задачу для российских организаций. Это особенно важно сейчас, когда компании ищут гибкие решения для контроля безопасности open-source-компонентов без изменения собственных процессов или инфраструктуры. OSA Proxy работает с любыми хранилищами или вообще без них, что расширяет возможности внедрения для организаций разного уровня».

Технические детали:

Поддержка основных пакетных индексов: Maven Central (Java), NPM (JavaScript), PyPI (Python), NuGet (.NET), Go Modules (Go), Debian Packages (Debian), а также альтернативных репозиториев, совместимых с официальными спецификациями.
OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры.
Сканирование как на уровне манифестов зависимостей, так и отдельных пакетов.
Гибкие режимы работы: от мониторинга (режим наблюдателя) до активной блокировки небезопасных компонентов. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.
Автоматическая фильтрация небезопасных версий. Сервис модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов.
В основе работы сервиса — асинхронная модель обработки и механизм автоматических повторов при временных ошибках, что обеспечивает стабильную работу даже при высоких нагрузках или кратковременных сбоях.

OSA Proxy доступен всем пользователям модуля CodeScoring.OSA.

Автор: CodeScoring

CodeScoring — российская платформа безопасной разработки программного обеспечения. Решение состоит из четырех модулей: композиционный анализ CodeScoring.SCA, защита цепочек поставки CodeScoring.OSA, анализ качества разработки CodeScoring.TQI и выявление конфиденциальной информации в исходном коде CodeScoring.Secrets. CodeScoring устанавливается в инфраструктуре заказчика, интегрируется с популярными инструментами разработки и развертывания ПО и поддерживает все ключевые экосистемы пакетных менеджеров. Продуктами CodeScoring уже пользуются крупные банки, ритейлеры и ИТ-компании, среди которых OZON, «Газпром нефть», «Ростелеком», «билайн», «Дикси» и другие.

Комментарии: