Flux de travail SCA et meilleures pratiques

Présentation des étapes d'examen utilisant l'analyse de la composition du logiciel (SCA) et meilleures pratiques

Les étapes générales permettant d'effectuer une analyse SCA sont les suivantes. Vous devrez peut-être effectuer des étapes supplémentaires pour atteindre vos objectifs d'examen.

Remarque : Un rôle approprié doit être attribué aux utilisateurs pour exécuter les examens SCA. Si vous n'êtes pas sûr que votre rôle d'utilisateur dispose des droits appropriés, consultez l'administrateur ASoC de votre organisation.
  1. Créez une application.
  2. Déterminez le mécanisme à utiliser pour préparer les fichiers à examiner et configurez-le en conséquence :
  3. Générez un fichier IRX en utilisant la méthode de votre choix.
  4. Créez et configurez un examen.
  5. Examinez les préférences d'examen.
  6. Exécutez l'examen.
  7. Vérifiez les résultats.
  8. Triez et résolvez les problèmes.
  9. Répétez les étapes trois à huit, si nécessaire.

Meilleures pratiques

En suivant ces meilleures pratiques, vous pouvez optimiser l'efficacité de SCA dans l'identification et l'atténuation des vulnérabilités au sein des composants Open Source de votre projet :

  • Pour les projets utilisant des gestionnaires de packages, SCA peut construire une arborescence détaillée des dépendances, offrant des informations sur les dépendances directes et transitoires. L'examen des fichiers de configuration du gestionnaire de packages produit des résultats plus précis que l'examen des fichiers sources uniquement, car la plupart des dépendances ne sont résolues qu'après la création du projet à l'aide du gestionnaire de packages.
    Remarque : L'emplacement des packages obtenus lors de l'examen de la configuration pointe vers les fichiers de configuration et non vers l'emplacement physique des bibliothèques.
  • Lorsque seuls des fichiers de gestion de package sont présents (pas de fichiers verrouillés), l'interface de ligne de commande AppScan tente de créer le projet à l'aide des outils de création locaux disponibles pour s'assurer que toutes les dépendances sont résolues. Il est toujours préférable de concevoir vos propres projets.
  • Si aucun fichier de configuration ni fichier de verrouillage n'est détecté, SCA utilise par défaut l'examen du meilleur effort, en utilisant des fichiers sources individuels en écrasant chaque fichier et en le comparant aux sources de données connues.