ランタイム・ソフトウェア・コンポジション分析について

ランタイムにアプリケーションで使用されるオープン・ソース・コンポーネントとライブラリーの脆弱性を特定し、管理します。

ソフトウェア・コンポジション分析 (SCA) は、コードで使用されるオープン・ソース・パッケージおよびサードパーティー・パッケージを検索して分析するための強力なツールです。ただし、アプリケーションの複雑化に伴い、使用されるライブラリーやパッケージが増えているため、SCA スキャンの結果は望ましくないことがあります。ランタイム SCA を使用すると、コードで参照されているライブラリーやパッケージだけでなく、ランタイムにアプリケーションで実際に使用されているライブラリーやパッケージを把握することができます。

ランタイム・ソフトウェア・コンポジション解析 (SCA) は、ランタイムにソフトウェア・アプリケーション内で使用されるオープン・ソース・コンポーネントおよびライブラリーの脆弱性を特定し、管理します。依存関係を静的に分析する (つまり、ビルド・プロセス中にコードとライブラリーを調べる) 従来の SCA とは異なり 、ランタイム SCA はランタイムにアプリケーションを継続的に監視し、実行中にライブラリーの使用を検出します。

ランタイム SCA は、潜在的な脆弱性に対するより正確なコンテキストを提供するため、問題の修復と解決の優先順位付けに役立ちます。

ランタイム SCA は、本番環境や下位のテスト環境のアプリケーションに適用できます。

ランタイム・ソフトウェア・コンポジション解析を活用するには:
  1. IAST エージェントをデプロイします

    ASoC は、ランタイム SCA で使用するための Java および .NET エージェントをサポートします。

  2. IAST 設定ファイルで、SCA ランタイム特有の環境変数である IAST_RUNTIME_SCA または IAST_SCA_PROD を有効にします。
  3. 機能テストや動的スキャンを実行するか、アプリケーションを手動で検索して、アプリケーションをテストします。

    IAST エージェントは、ランタイムにロードされているすべてのサードパーティー・ライブラリーを監視し、報告します。

  4. SCA スキャンを作成して実行します。

    ランタイムおよび SCA スキャンによって IAST によって識別されるライブラリーは相関付けられ、相関グループに表示されます。例: