關於軟體組成分析 (SCA)
軟體組合分析(SCA)會尋找並分析程式碼所使用的開放原始碼和第三方套件。
SCA 又稱為開放原始碼測試,會聚集各種來源的資訊,持續監視自動化程序的新漏洞。軟體組成分析 (SCA) 技術是透過供應鏈使用,以識別組織中使用的開放原始碼和第三方元件,以及其已知的安全漏洞和授權限制。SCA 可以偵測及擷取第三方元件、提供詳細的授權資訊、尋找已知漏洞及提供可動作的修正程式。
SCA 來源包含最熱門的安全性漏洞資料庫(NVD、Github 諮詢、Microsoft MSRC),以及許多較冷門的安全諮詢和開放程式碼專案問題追蹤程式。SCA 會每日更新。
SCA 需要特定的 ASoC 軟體組成分析工具訂閱。當您具備有效的訂閱時,開放原始碼測試會自行產生,或者在也有靜態分析授權時,自動包含在靜態分析掃描中。SCA 的功能如下:
- 在程式碼中尋找「開放原始碼」套件。要確保 ASoC 僅收集「開放原始碼」測試的資料,請使用
appscan prepare_sca
(Eclipse 不適用)。 - 識別已知具有漏洞的開放原始碼套件。
- 針對有漏洞的套件建議補救。