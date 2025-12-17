Платформа CodeScoring представила OSA Proxy — защиту цепочки поставок ПО без привязки к хранилищам артефактов

В модуле CodeScoring.OSA появился новый сервис OSA Proxy для автоматического сканирования сторонних opensource-компонентов и блокировки небезопасных пакетов при загрузке из внешних пакетных индексов. Об этом CNews сообщили представители CodeScoring.

OSA Proxy переносит композиционный анализ на самый ранний этап разработки — момент установки пакетов. Это особенно важно в условиях роста атак через цепочку поставок. Чем раньше опасный компонент будет выявлен и заблокирован, тем меньше рисков и затрат для команды разработки и для всей организации.

Как это работает

OSA Proxy перехватывает запросы пакетных менеджеров к внешним индексам (Maven Central, NPM, PyPI, NuGet), проверяет компоненты на соответствие политикам безопасности и может блокировать уязвимые версии еще до их попадания в корпоративную инфраструктуру. Это особенно ценно для компаний, которым критически важна независимость от западных решений и где выпуск безопасного ПО является приоритетом.

Ключевое преимущество решения — работа без привязки к хранилищам артефактов: сервис эффективен вне зависимости от конкретных решений и может работать в различных сценариях. OSA Proxy поддерживает как распространенные, так и нестандартные и специфические хранилища артефактов, и может работать совсем без хранилищ.

В отличие от локальных решений с плагинами сервис обеспечивает централизованный подход к управлению безопасностью пакетов на уровне всей инфраструктуры.

Алексей Смирнов, основатель платформы безопасной разработки CodeScoring: «OSA Proxy решает критическую задачу для российских организаций. Это особенно важно сейчас, когда компании ищут гибкие решения для контроля безопасности open source компонентов без изменения собственных процессов или инфраструктуры. OSA Proxy работает с любыми хранилищами или вообще без них, что расширяет возможности внедрения для организаций разного уровня».

Технические детали

Поддержка основных пакетных индексов: Maven Central (Java), NPM (JavaScript), PyPI (Python), NuGet (.NET), Go Modules (Go), Debian Packages (Debian) , а также альтернативных репозиториев, совместимых с официальными спецификациями.

OSA Proxy работает напрямую с индексами экосистем, что упрощает внедрение и сокращает время на настройку инфраструктуры.

Сканирование как на уровне манифестов зависимостей, так и отдельных пакетов

Гибкие режимы работы: от мониторинга (режим наблюдателя) до активной блокировки небезопасных компонентов. Это позволяет адаптировать уровень контроля под требования конкретной команды, обеспечивая баланс между безопасностью и непрерывностью разработки.

Автоматическая фильтрация небезопасных версий. Сервис модифицирует ответы от сторонних репозиториев: удаляет запрещённые версии, перенаправляет ссылки и пересчитывает контрольные суммы, сохраняя корректность форматов.

В основе работы сервиса — асинхронная модель обработки и механизм автоматических повторов при временных ошибках, что обеспечивает стабильную работу даже при высоких нагрузках или кратковременных сбоях.

OSA Proxy доступен всем пользователям модуля CodeScoring.OSA.



