SCA(ソフトウェアコンポジション解析)
SCA(ソフトウェアコンポジション解析) とは何ですか?
SCA(ソフトウェアコンポジション解析)アプリケーションが利用するオープンソース・サードパーティコンポーネントを自動解析し、既知の脆弱性、ライセンス問題、古い・危険な依存関係を洗い出す手法。
SCA ツールは package.json、pom.xml、go.mod、requirements.txt などの依存定義、ロックファイル、バイナリ成果物を解析し、ソフトウェア部品表(SBOM)を生成して NVD、GitHub Advisory Database、OSV といった脆弱性データベースと突き合わせます。脆弱なバージョンの指摘、安全なアップグレードの提案、推移的依存関係の検出、ライセンスリスクの可視化を行います。最近ではコード内で実際に到達するかを判定するリーチャビリティ解析を備える製品も増えています。代表ツールには Snyk Open Source、Dependabot、Sonatype Nexus IQ、Mend(旧 WhiteSource)、JFrog Xray、OWASP Dependency-Check があります。
● 例
- 01
Dependabot が脆弱な npm パッケージを自動更新する Pull Request を作成する。
- 02
CI で Snyk Open Source を実行し、修正可能な Critical CVE が見つかったらビルドを失敗させる。
● よくある質問
SCA(ソフトウェアコンポジション解析) とは何ですか?
アプリケーションが利用するオープンソース・サードパーティコンポーネントを自動解析し、既知の脆弱性、ライセンス問題、古い・危険な依存関係を洗い出す手法。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
SCA(ソフトウェアコンポジション解析) とはどういう意味ですか?
アプリケーションが利用するオープンソース・サードパーティコンポーネントを自動解析し、既知の脆弱性、ライセンス問題、古い・危険な依存関係を洗い出す手法。
SCA(ソフトウェアコンポジション解析) からどのように防御しますか?
SCA(ソフトウェアコンポジション解析) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
SCA(ソフトウェアコンポジション解析) の別名は何ですか?
一般的な別名: OSS セキュリティ, 依存関係スキャン。