SCA (Software Composition Analysis)
Что такое SCA (Software Composition Analysis)?
SCA (Software Composition Analysis)Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Инструменты SCA анализируют манифесты зависимостей (package.json, pom.xml, go.mod, requirements.txt), лок-файлы и бинарные артефакты, формируют SBOM и сверяют его с базами уязвимостей: NVD, GitHub Advisory Database, OSV. Они помечают уязвимые версии, рекомендуют безопасные обновления, выявляют транзитивные зависимости и подсвечивают лицензионные риски. Современные SCA всё чаще выполняют анализ достижимости, чтобы расставлять приоритеты на CVE, действительно эксплуатируемых в коде. Среди инструментов — Snyk Open Source, Dependabot, Sonatype Nexus IQ, Mend (бывшая WhiteSource), JFrog Xray и OWASP Dependency-Check.
● Примеры
- 01
Dependabot открывает pull requests для обновления уязвимых npm-пакетов.
- 02
Запуск Snyk Open Source в CI с падением сборки при критических CVE с доступным фиксом.
● Частые вопросы
Что такое SCA (Software Composition Analysis)?
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей. Относится к категории Безопасность приложений в кибербезопасности.
Что означает SCA (Software Composition Analysis)?
Автоматический анализ open-source и сторонних компонентов приложения для выявления известных уязвимостей, лицензионных рисков и устаревших или опасных зависимостей.
Как защититься от SCA (Software Composition Analysis)?
Защита от SCA (Software Composition Analysis) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия SCA (Software Composition Analysis)?
Распространённые альтернативные названия: Безопасность OSS, Сканирование зависимостей.