ソフトウェア・コンポジション分析 (SCA) について
ソフトウェア・コンポジション分析 (SCA) は、コードベース内のオープン・ソース・パッケージを特定して調査し、潜在的なセキュリティーの脆弱性を検出します。SCA は、個々のソース・コード・ファイルと、構成ファイルやロックファイルなどのパッケージ・マネージャーのアーティファクトの両方を分析することによって、プロジェクトが依存するオープン・ソース・パッケージを決定できます。
また、SCA (オープン・ソース・テストとも呼ばれる) は、さまざまなソースからの情報を集約し、自動化されたプロセスにおける新しい脆弱性を常に監視します。ソフトウェア・コンポジション分析 (SCA) テクノロジーは、サプライ・チェーンを通じて使用され、組織で使用されているオープン・ソースやサードパーティーのコンポーネント、およびそれらの既知のセキュリティー脆弱性とライセンス制限を特定します。SCA は、サードパーティー・コンポーネントの検出と抽出、詳細なライセンス情報の提供、既知の脆弱性とマルウェアの検出、実用的な修正を行うことができます。
SCA ソースには、最も一般的なセキュリティー脆弱性データベース (NVD、Github アドバイザリー、Microsoft MSRC)、広範にわたるあまり知られていないセキュリティー・アドバイザリーとオープン・ソース・プロジェクト問題追跡ツールが含まれます。SCA は毎日更新されます。
SCA を使用するには、特定のASoC ソフトウェア・コンポジション・アナライザーのサブスクリプションが必要です。有効なサブスクリプションをお持ちの場合、オープン・ソースのテストは自動で生成され、静的分析の資格も既にあれば静的分析スキャンに自動的に組み込まれます。SCA は次の機能を備えています。
- コード内のオープン・ソース・パッケージを見つけます。ASoC がオープン・ソース・テストの対象となるデータのみを収集できるよう、
appscan prepare_scaを使用します。 - 脆弱であると認識されているオープン・ソース・パッケージを特定します。
- 脆弱なパッケージの修復を提案します。