ソフトウェア・コンポジション分析 (SCA) について

ソフトウェア・コンポジション分析 (SCA) は、コードで使用されるオープン・ソース・パッケージおよびサードパーティー・パッケージを検索して分析します。

また、SCA (オープン・ソース・テストとも呼ばれる) は、さまざまなソースからの情報を集約し、自動化されたプロセスにおける新しい脆弱性を常に監視します。ソフトウェア・コンポジション分析 (SCA) テクノロジーは、組織で使用されているオープン・ソースやサードパーティー・コンポーネント、マルウェアの疑いがあるオープン・ソース・ライブラリーを含む、既知のセキュリティー脆弱性とライセンス制限を特定するために、サプライチェーンを通じて使用されます。SCA は、サードパーティー・コンポーネントの検出と抽出、詳細なライセンス情報の提供、既知の脆弱性の検出、実用的な修正を行うことができます。

SCA ソースには、最も一般的なセキュリティー脆弱性データベース (NVD、Github アドバイザリー、Microsoft MSRC)、広範にわたるあまり知られていないセキュリティー・アドバイザリーとオープン・ソース・プロジェクト問題追跡ツールが含まれます。SCA は毎日更新されます。

SCA を使用するには、特定のASoC ソフトウェア・コンポジション・アナライザーのサブスクリプションが必要です。有効なサブスクリプションをお持ちの場合、オープン・ソースのテストは自動で生成され、静的分析の資格も既にあれば静的分析スキャンに自動的に組み込まれます。SCA は次の機能を備えています。
  • コード内のオープン・ソース・パッケージを見つけます。ASoC がオープン・ソース・テストの対象となるデータのみを収集できるよう、appscan prepare_sca を使用します (Eclipse では使用できません)。
  • 脆弱であると認識されているオープン・ソース・パッケージを特定します。
  • 脆弱なパッケージの修復を提案します。
結果は、静的分析レポートかオープン・ソース・レポート、さらに ASoC ポータルに表示されます。