Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Deutsch
Entry № 1087

SCA (Software Composition Analysis)

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist SCA (Software Composition Analysis)?

SCA (Software Composition Analysis)Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.

SCA-Tools werten Manifeste (package.json, pom.xml, go.mod, requirements.txt), Lockfiles und binäre Artefakte aus, erzeugen eine Software Bill of Materials (SBOM) und gleichen sie mit Datenbanken wie NVD, GitHub Advisory Database und OSV ab. Sie markieren verwundbare Versionen, empfehlen sichere Upgrades, erkennen transitive Abhängigkeiten und decken Lizenzrisiken auf. Moderne SCA-Tools setzen zunehmend Reachability-Analysen ein, um nur tatsächlich ausnutzbare CVEs zu priorisieren. Bekannte Werkzeuge: Snyk Open Source, Dependabot, Sonatype Nexus IQ, Mend (ehemals WhiteSource), JFrog Xray, OWASP Dependency-Check.

Beispiele

  1. 01

    Dependabot öffnet Pull Requests, um verwundbare npm-Pakete zu aktualisieren.

  2. 02

    Snyk Open Source in der CI lässt den Build bei kritischen CVEs mit verfügbarem Fix fehlschlagen.

Häufige Fragen

Was ist SCA (Software Composition Analysis)?

Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.

Was bedeutet SCA (Software Composition Analysis)?

Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.

Wie schützt man sich gegen SCA (Software Composition Analysis)?

Schutzmaßnahmen gegen SCA (Software Composition Analysis) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für SCA (Software Composition Analysis)?

Übliche alternative Bezeichnungen: Open-Source-Security, Dependency-Scanning.

Verwandte Begriffe

Siehe auch