Mitä on ohjelmistojen koostumusanalyysi (SCA)?
Ohjelmistojen koostumusanalyysi (SCA) on turvallisuusprosessi, joka tunnistaa ja hallitsee riskejä sovelluksessa käytetyissä kolmannen osapuolen kirjastoissa.
Nykyaikaiset sovellukset luottavat voimakkaasti avoimen lähdekoodin kirjastoihin, kolmannen osapuolen komponentteihin tai kehyksiin. Näiden riippuvuuksien haavoittuvuudet voivat altistaa koko sovelluksen hyökkääjille.
SCA-työkalut skannaavat riippuvuuksia löytääkseen haavoittuvuuksia, vanhentuneita paketteja ja lisenssiriskejä.
Miksi SCA on tärkeä kyberturvallisuudessa
Nykyään sovellukset rakennetaan kolmannen osapuolen komponenteilla ja avoimen lähdekoodin kirjastoilla. Hyökkääjät hyökkäävät usein näihin komponentteihin hyödyntääkseen haavoittuvuuksia, kuten on nähty korkean profiilin tapauksissa, kuten Log4j-haavoittuvuus.
SCA:n hyödyt
Ohjelmistojen koostumusanalyysi (SCA) auttaa organisaatioita:
- Havaitsemaan käytössä olevien kirjastojen haavoittuvuudet ennen tuotantoon pääsyä
- Seuraamaan avoimen lähdekoodin lisenssikirjastoja oikeudellisten riskien välttämiseksi
- Vähentämään toimitusketjuhyökkäysten riskiä
- Noudattamaan turvallisuuskehyksiä, kuten PCI DSS ja NIST
Kuinka SCA toimii
- Skannaa sovelluksen riippuvuuksien puu
- Vertaa komponenttia tunnettujen haavoittuvuuksien tietokantaan (esim. NVD)
- Merkitse vanhentuneet tai riskialttiit paketit ja ehdota kehittäjälle päivityksiä tai korjauksia
- Tarjoaa näkyvyyden avoimen lähdekoodin lisenssien käyttöön
Yleisiä SCA:n havaitsemia ongelmia
- Haavoittuvat avoimen lähdekoodin kirjastot (esim. Log4J)
- Vanhentuneet riippuvuudet, joissa on tietoturva-aukkoja
- Lisenssikonfliktit (GPL, Apache, jne.)
- Julkisten arkistojen haitallisten pakettien riski
Esimerkki
Kehittäjätiimi rakentaa verkkosovelluksen käyttäen vanhentunutta versiota lokikirjastosta. SCA-työkalut skannaavat ja löytävät, että tämä versio on haavoittuva etäkoodin suoritushyökkäykselle (RCE). Tiimi päivittää riippuvuuden turvalliseen kirjastoon ennen kuin sovellus menee tuotantoon
Liittyvät termit
- Dynaaminen sovellusten tietoturvatestaus (DAST)
- Staattinen sovellusten tietoturvatestaus (SAST)
- Interaktiivinen sovellusten tietoturvatestaus (IAST)
- Sovellusten tietoturva
- Sovellusten tietoturvatestaus
- SBOM (Ohjelmiston materiaaliluettelo)
- Toimitusketjuhyökkäys