Vad är Software Composition Analysis (SCA)?
Software Composition Analysis (SCA) är en säkerhetsprocess som identifierar och hanterar risker i tredjepartsbibliotek som används inom applikationen.
Moderna applikationer förlitar sig nyligen starkt på öppen källkodsbibliotek, tredjepartskomponenter eller ramverk. Sårbarheter i dessa beroenden kan utsätta hela applikationen för angripare.
SCA-verktyg skannar beroenden för att hitta sårbarheter, föråldrade paket och licensrisker.
Varför SCA är viktigt inom cybersäkerhet
Applikationer idag byggs med tredjepartskomponenter och öppen källkodsbibliotek. Angripare attackerar ofta dessa komponenter för att utnyttja sårbarheter, vilket har setts i högprofilerade fall som Log4j-sårbarheten.
Fördelar med SCA
Software Composition Analysis (SCA) hjälper organisationer att:
- Upptäcka sårbarheter i bibliotek som används innan de når produktion
- Spåra öppen källkodsbibliotek för att undvika juridiska risker
- Minska risken för försörjningskedjeattacker
- Efterleva säkerhetsramverk som PCI DSS och NIST
Hur SCA fungerar
- Skanna applikationens beroendeträd
- Jämför komponenten mot databas av kända sårbarheter (t.ex. NVD)
- Flagga föråldrade eller riskfyllda paket och föreslå utvecklare att uppdatera eller patcha
- Ger insyn i användningen av öppen källkodslicenser
Vanliga problem som upptäcks av SCA
- Sårbara bibliotek med öppen källkod (t.ex. Log4J)
- Föråldrade beroenden med säkerhetsbrister
- Licenskonflikter (GPL, Apache, etc)
- Risk för skadliga paket i offentliga arkiv
Exempel
Utvecklingsteamet bygger en webbapplikation med en föråldrad version av loggningsbiblioteket. SCA-verktyg skannar och finner att denna version är sårbar för fjärrkodexekveringsattacker (RCE). Teamet uppdaterar beroendet till ett säkert bibliotek innan applikationen går i produktion
Relaterade termer
- Dynamisk applikationssäkerhetstestning (DAST)
- Statisk applikationssäkerhetstestning (SAST)
- Interaktiv applikationssäkerhetstestning (IAST)
- Applikationssäkerhet
- Applikationssäkerhetstestning
- SBOM (Software Bill of Materials)
- Leveranskedjeattack