Hvad er Software Composition Analysis (SCA)?
Software Composition Analysis (SCA) er en sikkerhedsproces, der identificerer og håndterer risici i tredjepartsbiblioteker, der bruges i applikationer.
Moderne applikationer er for nylig blevet stærkt afhængige af open-source biblioteker, tredjepartskomponenter eller frameworks. Sårbarheder i disse afhængigheder kan udsætte hele applikationen for angreb.
SCA-værktøjer scanner afhængigheder for at finde sårbarheder, forældede pakker og licensrisici.
Hvorfor SCA er vigtigt i cybersikkerhed
Applikationer i dag er bygget med tredjepartskomponenter og open-source biblioteker. Angribere angriber ofte disse komponenter for at udnytte sårbarheder, som set i højprofilerede sager som Log4j-sårbarheden.
Fordele ved SCA
Software Composition Analysis (SCA) hjælper organisationer med at:
- Registrere sårbarheder i biblioteker i brug, før de når produktion
- Spore open-source licensbiblioteker for at undgå juridiske risici
- Reducere risikoen for forsyningskædeangreb
- Overholde sikkerhedsrammer som PCI DSS og NIST
Hvordan SCA fungerer
- Scan applikationens afhængighedstræ
- Sammenlign komponent mod database over kendte sårbarheder (f.eks. NVD)
- Marker forældede eller risikable pakker, og foreslå udvikler at opdatere eller anvende patches
- Giver indsigt i brugen af open-source licenser
Almindelige Problemer Opdaget af SCA
- Sårbare open-source biblioteker (f.eks. Log4J)
- Forældede afhængigheder med sikkerhedsfejl
- Licenskonflikter (GPL, Apache, etc.)
- Risiko for ondsindet pakke i offentlige arkiver
Eksempel
Udviklerteam bygger webapplikation ved brug af forældet version af logningsbibliotek. SCA-værktøjer scanner og finder, at denne version er sårbar over for fjernkodeudførelse (RCE) angreb. Teamet opdaterer afhængigheden til et sikkert bibliotek, før applikationen går i produktion
Relaterede Termer
- Dynamisk Applikationssikkerhedstest (DAST)
- Statisk Applikationssikkerhedstest (SAST)
- Interaktiv Applikationssikkerhedstest (IAST)
- Applikationssikkerhed
- Applikationssikkerhedstest
- SBOM (Software Bill of Materials)
- Forsyningskædeangreb