執行時期軟體組成分析
可辨識及管理應用程式在執行時期所使用之開放原始碼元件和程式庫的漏洞。
軟體組成分析 (SCA) 是一個強大的工具,可尋找並分析程式碼所使用的開放原始碼和第三方套件。但是,隨著應用程式越來越複雜,使用的資料庫和套件數量越來越多,SCA 掃描的結果可能會變得無比龐大。執行時期 SCA 使組織不僅可以瞭解程式碼中參照的程式庫與套件,還能瞭解應用程式在執行時期實際使用哪些程式庫與套件。
執行時期軟體組成分析 (SCA) 會辨識並管理執行期間軟體應用程式內使用之開放原始碼元件與程式庫中的漏洞。與靜態分析相依性(也就是在建置程序期間檢查程式碼與程式庫)的傳統 SCA 不同,執行時期 SCA 會在應用程式執行時對其進行持續監視,以偵測執行時期程式庫的任何使用情形。
執行時期 SCA 為潛在漏洞提供更準確的內容,因此,有助於排定問題修復與解決的優先順序。
執行時期 SCA 適用於生產或較低測試環境中的應用程式
若要善用執行時期軟體組成分析:
- 部署 IAST 代理程式。
ASoC 支援 Java 與 .NET 代理程式,以與執行時期 SCA 搭配使用。
- 在 IAST 配置檔中啟用 SCA 執行時期特定環境變數、
IAST_RUNTIME_SCA
或IAST_SCA_PROD
。 - 透過執行功能測試、動態掃描或手動探索應用程式來測試您的應用程式。
IAST 代理程式會監視並報告執行時期載入的每個第三方程式庫。
- 建立並執行 SCA 掃描。
在執行時期由 IAST 和 SCA 掃描識別的程式庫會在關聯性群組中建立關聯性並顯示。例如: