Co je analýza složení softwaru (SCA)?
Analýza složení softwaru (SCA) je bezpečnostní proces, který identifikuje a spravuje rizika v knihovnách třetích stran používaných v aplikaci.
Moderní aplikace se v poslední době silně spoléhají na open-source knihovny, komponenty třetích stran nebo frameworky. Zranitelnosti v těchto závislostech mohou vystavit celou aplikaci útočníkům.
Nástroje SCA skenují závislosti, aby našly zranitelnosti, zastaralé balíčky a licenční rizika.
Proč je SCA důležitá v kybernetické bezpečnosti
Dnešní aplikace jsou postaveny s komponenty třetích stran a open-source knihovnami. Útočníci často útočí na tyto komponenty, aby zneužili zranitelnosti, jak bylo vidět v případech s vysokým profilem, jako je zranitelnost Log4j.
Výhody SCA
Analýza složení softwaru (SCA) pomáhá organizacím:
- Detekovat zranitelnosti v používaných knihovnách před jejich nasazením do produkce
- Sledovat open-source licenční knihovny, aby se předešlo právním rizikům
- Snížit riziko útoků na dodavatelský řetězec
- Dodržovat bezpečnostní rámce, jako jsou PCI DSS a NIST
Jak SCA funguje
- Skenování stromu závislostí aplikace
- Porovnání komponenty s databází známých zranitelností (např. NVD)
- Označení zastaralých nebo rizikových balíčků a návrh vývojáři na aktualizaci nebo opravy
- Poskytuje přehled o používání open-source licencí
Běžné problémy zjištěné SCA
- Zranitelné open-source knihovny (např. Log4J)
- Zastaralé závislosti s bezpečnostními nedostatky
- Konflikty licencí (GPL, Apache, atd.)
- Riziko škodlivého balíčku ve veřejných repozitářích
Příklad
Vývojářský tým vytváří webovou aplikaci s použitím zastaralé verze knihovny pro logování. Nástroje SCA skenují a zjistí, že tato verze je zranitelná vůči útoku vzdáleného spuštění kódu (RCE). Tým aktualizuje závislost na bezpečnou knihovnu předtím, než aplikace půjde do produkce
Související termíny
- Dynamické testování bezpečnosti aplikací (DAST)
- Statické testování bezpečnosti aplikací (SAST)
- Interaktivní testování bezpečnosti aplikací (IAST)
- Bezpečnost aplikací
- Testování bezpečnosti aplikací
- SBOM (Software Bill of Materials)
- Útok na dodavatelský řetězec