מהי ניתוח הרכב תוכנה (SCA) ?
ניתוח הרכב תוכנה (SCA) הוא תהליך אבטחה שמזהה ומנהל סיכונים בספריות צד שלישי המשמשות בתוך יישום.
יישומים מודרניים מסתמכים לאחרונה במידה רבה על ספריות קוד פתוח, רכיבי צד שלישי או מסגרות עבודה. פגיעויות בתלות אלו יכולות לחשוף את כל היישום לתוקפים.
כלי SCA סורקים תלות כדי למצוא פגיעויות, חבילות מיושנות וסיכוני רישוי.
מדוע SCA חשוב באבטחת סייבר
יישומים כיום נבנים עם רכיבי צד שלישי וספריות קוד פתוח. התוקפים לעיתים קרובות תוקפים רכיבים אלו כדי לנצל פגיעויות, כפי שנראה במקרים בולטים כמו הפגיעות של Log4j.
יתרונות של SCA
ניתוח הרכב תוכנה (SCA) מסייע לארגונים ל:
- לזהות פגיעויות בספריות בשימוש לפני הגעה לייצור
- לעקוב אחר ספריות רישיונות קוד פתוח כדי להימנע מסיכונים משפטיים
- להפחית את הסיכון של התקפות שרשרת אספקה
- תאימות למסגרות אבטחה כגון PCI DSS ו-NIST
איך SCA עובד
- לסרוק את עץ התלות של היישום
- להשוות רכיבים מול מאגר של פגיעויות ידועות (לדוגמה, NVD)
- לסמן חבילות מיושנות או מסוכנות, ולהציע למפתח לעדכן או לתקן
- לספק נראות לשימוש ברישיונות קוד פתוח
בעיות נפוצות ש-SCA מזהה
- ספריות קוד פתוח פגיעות (לדוגמה Log4J)
- תלות מיושנות עם פגמי אבטחה
- קונפליקטים ברישיון (GPL, Apache, וכו’)
- סיכון לחבילה זדונית במאגרים ציבוריים
דוגמה
צוות המפתחים בונה יישום אינטרנטי ומשתמש בגרסה מיושנת של ספריית רישום. כלי SCA סורקים ומוצאים שגרסה זו פגיעה להתקפת ביצוע קוד מרחוק (RCE). הצוות מעדכן את התלות לספרייה מאובטחת לפני שהיישום מגיע לייצור.
מונחים קשורים
- SAST (בדיקת אבטחת יישומים סטטית)
- DAST (בדיקת אבטחת יישומים דינמית)
- IAST (בדיקת אבטחת יישומים אינטראקטיבית)
- בדיקת אבטחת יישומים
- SBOM (רשימת מרכיבים של תוכנה)
- התקפת שרשרת אספקה