SCA (Análisis de composición de software)
¿Qué es SCA (Análisis de composición de software)?
SCA (Análisis de composición de software)Análisis automatizado de los componentes open source y de terceros de una aplicación para identificar vulnerabilidades conocidas, problemas de licencia y dependencias obsoletas o de riesgo.
Las herramientas SCA inspeccionan manifiestos (package.json, pom.xml, go.mod, requirements.txt), lockfiles y artefactos binarios para construir un SBOM y compararlo con bases de vulnerabilidades como NVD, GitHub Advisory Database y OSV. Marcan versiones vulnerables, sugieren actualizaciones seguras, detectan dependencias transitivas y exponen riesgos de licencia. El SCA moderno añade cada vez más análisis de alcanzabilidad para priorizar CVEs realmente explotables en el código. Herramientas habituales: Snyk Open Source, Dependabot, Sonatype Nexus IQ, Mend (antes WhiteSource), JFrog Xray y OWASP Dependency-Check.
● Ejemplos
- 01
Dependabot abriendo pull requests para actualizar paquetes npm vulnerables.
- 02
Ejecutar Snyk Open Source en CI para romper el build ante CVEs Críticas con fix disponible.
● Preguntas frecuentes
¿Qué es SCA (Análisis de composición de software)?
Análisis automatizado de los componentes open source y de terceros de una aplicación para identificar vulnerabilidades conocidas, problemas de licencia y dependencias obsoletas o de riesgo. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa SCA (Análisis de composición de software)?
Análisis automatizado de los componentes open source y de terceros de una aplicación para identificar vulnerabilidades conocidas, problemas de licencia y dependencias obsoletas o de riesgo.
¿Cómo defenderse de SCA (Análisis de composición de software)?
Las defensas contra SCA (Análisis de composición de software) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SCA (Análisis de composición de software)?
Nombres alternativos comunes: Seguridad de open source, Escaneo de dependencias.