À propos de l'analyse de la composition du logiciel (SCA)
Software Composition Analysis (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.
SCA, également désigné sous le nom de « test Open Source », regroupe des informations provenant de diverses sources, en surveillant constamment les nouvelles vulnérabilités dans un processus automatisé. La technologie d'analyse de la composition du logiciel est utilisée tout au long de la chaîne logistique pour identifier les composants Open Source et tiers utilisés dans l'organisation, ainsi que leurs vulnérabilités de sécurité connues et les limites de leur licence, y compris les bibliothèques open source considérées comme des logiciels malveillants. SCA peut détecter et extraire des composants tiers, fournir des informations détaillées sur les licences, trouver des vulnérabilités connues et proposer des correctifs exploitables.
Les sources SCA incluent les bases de données de vulnérabilité de sécurité les plus courantes (NVD, Github advisory, Microsoft MSRC), ainsi qu'un large éventail d'avis de sécurité moins connus et de dispositifs de suivi des problèmes de projet open source. La SCA est mis à jour quotidiennement.
- Il localise des packages Open Source dans votre code. Pour garantir qu'ASoC collecte uniquement les données pour le test Open Source, utilisez
appscan prepare_sca
(non disponible depuis Eclipse). - Identifie les packages Open Source réputés vulnérables.
- Il suggère une résolution pour les packages vulnérables.