什么是软件组成分析 (SCA)？

软件组成分析 (SCA) 是一种安全过程，用于识别和管理应用程序中使用的第三方库中的风险。

现代应用程序最近严重依赖开源库、第三方组件或框架。这些依赖项中的漏洞可能会使整个应用程序暴露给攻击者。

SCA 工具扫描依赖项以发现漏洞、过时的包和许可证风险。

SCA 在网络安全中的重要性

如今的应用程序是由第三方组件和开源库构建的。攻击者通常攻击这些组件以利用漏洞，正如在 Log4j 漏洞等高调案例中所见。

SCA 的好处

软件组成分析 (SCA) 帮助组织：

• 在进入生产环境之前检测使用库中的漏洞
• 跟踪开源许可证库以避免法律风险
• 降低供应链攻击的风险
• 符合安全框架，如PCI DSS和NIST

SCA如何工作

• 扫描应用程序的依赖树
• 将组件与已知漏洞数据库（例如NVD）进行比较
• 标记过时或有风险的包，并建议开发人员更新或修补
• 提供对开源许可证使用的可见性

SCA检测的常见问题

• 易受攻击的开源库（例如Log4J）
• 具有安全缺陷的过时依赖项
• 许可证冲突（GPL、Apache等）
• 公共存储库中恶意包的风险

示例

开发团队构建的网络应用程序使用了过时版本的日志库。SCA工具扫描并发现该版本易受远程代码执行（RCE）攻击。团队在应用程序进入生产环境之前更新了依赖项以确保库的安全。

相关术语

• SAST（静态应用程序安全测试）
• DAST（动态应用程序安全测试）
• IAST（交互式应用程序安全测试）
• 应用程序安全测试
• SBOM（软件材料清单）
• 供应链攻击