SCA (Software Composition Analysis)
O que é SCA (Software Composition Analysis)?
SCA (Software Composition Analysis)Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
As ferramentas SCA inspecionam manifestos (package.json, pom.xml, go.mod, requirements.txt), lockfiles e artefatos binários para gerar um SBOM e compará-lo com bases como NVD, GitHub Advisory Database e OSV. Apontam versões vulneráveis, sugerem upgrades seguros, identificam dependências transitivas e expõem riscos de licença. SCAs modernos adotam cada vez mais análise de reachability para priorizar CVEs realmente exploráveis no código. Ferramentas comuns: Snyk Open Source, Dependabot, Sonatype Nexus IQ, Mend (antiga WhiteSource), JFrog Xray e OWASP Dependency-Check.
● Exemplos
- 01
Dependabot abrindo pull requests para atualizar pacotes npm vulneráveis.
- 02
Rodar Snyk Open Source no CI quebrando o build em CVEs Críticas com correção disponível.
● Perguntas frequentes
O que é SCA (Software Composition Analysis)?
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa SCA (Software Composition Analysis)?
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
Como se defender contra SCA (Software Composition Analysis)?
As defesas contra SCA (Software Composition Analysis) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para SCA (Software Composition Analysis)?
Nomes alternativos comuns: Segurança de open source, Varredura de dependências.