SCA(软件成分分析)

Q: SCA(软件成分分析) 是什么?

对应用使用的开源与第三方组件进行自动化分析,识别已知漏洞、许可证风险以及过时或高风险依赖。 它属于网络安全的 应用安全 分类。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

SCA(软件成分分析) 是什么?

SCA(软件成分分析)对应用使用的开源与第三方组件进行自动化分析,识别已知漏洞、许可证风险以及过时或高风险依赖。

SCA 工具会解析依赖清单(package.json、pom.xml、go.mod、requirements.txt 等)、锁文件和二进制产物,生成软件物料清单(SBOM),并与 NVD、GitHub Advisory Database、OSV 等漏洞库比对。它会标记存在漏洞的版本、推荐安全的升级路径、识别传递依赖,并暴露许可证风险。现代 SCA 越来越多地引入可达性分析,以优先关注代码中真正可被利用的 CVE。常见工具包括 Snyk Open Source、Dependabot、Sonatype Nexus IQ、Mend(原 WhiteSource)、JFrog Xray 以及 OWASP Dependency-Check。

● 示例

01
Dependabot 自动提交 PR,升级存在漏洞的 npm 包。
02
在 CI 中运行 Snyk Open Source,当存在可修复的 Critical 级 CVE 时使构建失败。

● 常见问题

SCA(软件成分分析) 是什么?

对应用使用的开源与第三方组件进行自动化分析,识别已知漏洞、许可证风险以及过时或高风险依赖。它属于网络安全的应用安全分类。

SCA(软件成分分析) 是什么意思?

对应用使用的开源与第三方组件进行自动化分析,识别已知漏洞、许可证风险以及过时或高风险依赖。

如何防御 SCA(软件成分分析)?

针对 SCA(软件成分分析) 的防御通常结合技术控制与运营实践,详见上方完整定义。

SCA(软件成分分析) 还有哪些其他名称?

常见的别称包括: 开源安全, 依赖扫描。

SCA(软件成分分析)