运行时软件组成分析

识别和管理应用程序在运行时使用的开源组件和库中的漏洞。

软件组成分析 (SCA) 是一种强大的工具,用于查找和分析代码使用的开源包和第三方包。然而,随着应用程序越来越复杂,使用的库和包越来越多,SCA 扫描的结果可能变得难以处理。通过使用运行时 SCA,组织不仅能够了解代码中引用了哪些库和包,还可以了解应用程序在运行时实际使用了哪些库和包。

运行时软件组成分析 (SCA) 可以识别和管理软件应用程序执行过程中使用的开源组件和库中的漏洞。传统 SCA 是对依赖关系进行静态分析(即在构建过程中检查代码和库),而运行时 SCA 与此不同,是在应用程序运行时持续进行监控,以检测运行时库的任何使用情况。

运行时 SCA 针对潜在漏洞提供更准确的上下文,从而有助于确定补救和解决问题的优先级。

运行时 SCA 可应用于生产环境或早期测试环境中的应用程序

要利用运行时软件组成分析:
  1. 部署 IAST 代理程序

    ASoC 支持 Java 和 .NET 代理程序与运行时 SCA 结合使用。

  2. IAST 配置文件中启用 SCA 运行时特定环境变量IAST_RUNTIME_SCAIAST_SCA_PROD
  3. 通过运行功能测试、动态扫描或手动探索应用程序来测试应用程序。

    IAST 代理程序监控并报告运行时加载的每个第三方库。

  4. 创建并运行 SCA 扫描。

    IAST 在运行时识别的库 SCA 扫描中识别的库相互关联,并显示于关联组中。例如: