SCA ワークフローとベスト・プラクティス

ソフトウェア・コンポジション分析スキャンとベスト・プラクティスの手順の概要

SCA スキャンを実行するための一般的な手順は、次のとおりです。スキャン目標の達成のためには、追加の手順が必要になる場合があります。

注: ユーザーには、SCA スキャンを実行するための適切なロールを割り当てる必要があります。ユーザー・ロールに適切な権限があるかどうか不明な場合は、組織の ASoC 管理者に問い合わせてください。

アプリケーションを作成します。
スキャン用のファイルの準備に使用するメカニズムを決定し、それを適宜次のようにセットアップします。
- Static Analyzer コマンド行ユーティリティー
- AppScan Go!
- サポートされるプラグイン
希望する方法で IRX を生成します。
スキャンを作成して設定します。
スキャンのプリファレンスを確認します。
スキャンを実行します。
結果をレビューします。
問題をトリアージして修復します。
必要に応じて、手順 3 から 8 を繰り返します。

ベスト・プラクティス

これらのベスト・プラクティスに従うことで、プロジェクトのオープン・ソース・コンポーネント内の脆弱性を特定して緩和する場合、SCA の効果を最適化できます。

パッケージ・マネージャーを使用するプロジェクトの場合、SCA は詳細な依存関係ツリーを構築でき、直接依存関係と移行依存関係の両方に関する詳細な情報を提供します。パッケージ・マネージャー構成ファイルをスキャンすると、ソース・ファイルだけのスキャンより正確な結果が得られます。ほとんどの依存関係が、パッケージ・マネージャーを使用してプロジェクトが構築された後にのみ解決されるためです。
注: 構成スキャンでソースされたパッケージの場所は、ライブラリーの物理的な場所ではなく、構成ファイルを参照します。
パッケージ管理ファイルのみが存在する (ロックファイルがない) 場合、AppScan CLI は、すべての依存関係が確実に解決されるように、使用可能なローカル・ビルド・ツールを使用してプロジェクトを作成しようとします。常に独自のプロジェクトを作成することをお勧めします。
構成ファイルやロックファイルが検出されない場合、SCA はデフォルトでベスト・エフォート・スキャンを実行し、各ファイルをハッシュして既知のデータ・ソースと比較することで個々のソース・ファイルを利用します。