Segurança de aplicações
SCA (Software Composition Analysis)
Também conhecido como: Segurança de open source, Varredura de dependências
Definição
Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
Exemplos
- Dependabot abrindo pull requests para atualizar pacotes npm vulneráveis.
- Rodar Snyk Open Source no CI quebrando o build em CVEs Críticas com correção disponível.
Termos relacionados
SAST (Static Application Security Testing)
Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.
DAST (Dynamic Application Security Testing)
Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
CVE (Common Vulnerabilities and Exposures)
Catálogo público que atribui um identificador único a cada vulnerabilidade divulgada para que possa ser referenciada de forma inequívoca em toda a indústria.
DevSecOps
Cultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
Log4Shell (CVE-2021-44228)
Vulnerabilidade crítica de execução remota de código de dezembro de 2021 no Apache Log4j 2, acionada apenas por logar uma string JNDI.