Qu’est-ce que l’Analyse de la Composition Logicielle (SCA) ?
L’Analyse de la Composition Logicielle (SCA) est un processus de sécurité qui identifie et gère les risques dans les bibliothèques tierces utilisées au sein des applications.
Les applications modernes dépendent fortement des bibliothèques open-source, des composants tiers ou des frameworks. Les vulnérabilités de ces dépendances peuvent exposer l’ensemble de l’application aux attaquants.
Les outils SCA analysent les dépendances pour trouver des vulnérabilités, des paquets obsolètes et des risques liés aux licences.
Pourquoi la SCA est importante en cybersécurité
Les applications d’aujourd’hui sont construites avec des composants tiers et des bibliothèques open-source. Les attaquants ciblent souvent ces composants pour exploiter des vulnérabilités, comme on l’a vu dans des cas très médiatisés tels que la vulnérabilité Log4j.
Avantages de la SCA
L’Analyse de la Composition Logicielle (SCA) aide les organisations à :
- Détecter les vulnérabilités dans les bibliothèques utilisées avant qu’elles n’atteignent la production
- Suivre les licences des bibliothèques open-source pour éviter les risques juridiques
- Réduire le risque d’attaques de la chaîne d’approvisionnement
- Se conformer aux cadres de sécurité tels que PCI DSS et NIST
Comment fonctionne la SCA
- Scanner l’arborescence des dépendances de l’application
- Comparer le composant avec une base de données de vulnérabilités connues (par exemple, NVD)
- Signaler les paquets obsolètes ou risqués et suggérer au développeur de les mettre à jour ou de les corriger
- Fournir une visibilité sur l’utilisation des licences open-source
Problèmes courants détectés par SCA
- Bibliothèques open-source vulnérables (par exemple, Log4J)
- Dépendances obsolètes avec des failles de sécurité
- Conflits de licences (GPL, Apache, etc.)
- Risque de paquet malveillant dans les dépôts publics
Exemple
L’équipe de développement construit une application web en utilisant une version obsolète de la bibliothèque de journalisation. Les outils SCA scannent et trouvent que cette version est vulnérable à une attaque d’exécution de code à distance (RCE). L’équipe met à jour la dépendance vers une bibliothèque sécurisée avant que l’application ne soit mise en production
Termes connexes
- Test de Sécurité des Applications Dynamiques (DAST)
- Test de Sécurité des Applications Statiques (SAST)
- Test de Sécurité des Applications Interactives (IAST)
- Sécurité des Applications
- Test de Sécurité des Applications
- SBOM (Liste de Matériaux Logiciels)
- Attaque de la Chaîne d’Approvisionnement