什麼是軟體組成分析 (SCA)？

軟體組成分析解決方案如何運作

SCA 解決方案旨在檢查未知的程式碼庫並記錄所使用的開源元件、其脆弱性和其他資訊。這可以通過以下步驟實現：

• 掃描：SCA 工具將從掃描代碼庫開始，以識別代碼使用的庫和依賴關係。 基於此掃描，該工具可以產生軟體物料清單 (SBOM)，其中列出了應用程式使用的所有開源程式碼。
• 文件：軟體版本、授權資訊和應用程式的使用情況都是有價值的資訊。在代碼庫中識別開源代碼後，SCA 掃描器將記錄此數據。
• 脆弱性檢測：已知脆弱性與受影響的軟體和版本一起記錄為常見脆弱性和暴露 (CVE)。透過了解所使用的開源程式庫及其版本號，SCA 工具可以識別應用程式中已知的脆弱性。

在此過程結束時，SCA 工具產生了一份報告，其中包含有關應用程式使用的所有開源依賴項的資訊。這些資訊可能會被報告給安全人員，或者根據發現和 CI/CD 管道內的整合程度，如果新提交使用已停用或不安全的元件，甚至可能阻止新提交新增到代碼庫中。

透過將 SCA 整合到 CI/CD 管道中，開發團隊可以將安全性向左轉移，並降低可利用脆弱性到達生產系統的風險。

軟體組成分析 (SCA) 使用案例

SCA 提供組織應用程式使用的開源依賴項的可見性。這種可見性對於脆弱性和許可證管理至關重要。

脆弱性管理

開源程式庫可能包含可利用的脆弱性或惡意程式碼。如果應用程式匯入這些程式庫，則可能容易受到攻擊或執行惡意程式碼。通常，公司難以保持對其使用的第三方代碼的可見性。 這特別適用於一個開源元件導入一個或多個其他元件的間接依賴關係。 SCA 解決方案可以幫助公司獲得所需的可見性，並快速確定應用程式所使用的程式庫版本是否存在 CVE。

授權管理

使用第三方程式碼可能會為組織造成授權問題，尤其是在各種潛在的授權需求時。 在一個極端的情況下，版權可能會使公司無法使用組件，或可能需要支付版權費。 另一方面，copyleft 授權可以強制使用特定組件的任何代碼也必須是自由可用的和開源。

如果無法了解其應用程式使用的開源元件，組織將對許可規則一無所知，並可能面臨法律風險。透過收集有關程式碼庫中使用的所有開放原始碼元件的授權資訊，公司可以瞭解潛在的授權和法律問題。

軟體組成分析 (SCA) 挑戰

SCA 對於管理組織軟體供應鏈安全風險至關重要。 但是，SCA 面臨著挑戰，包括以下幾點：

• 間接依賴關係：應用程式的依賴關係可能有自己的依賴關係。這些鏈條可以進入多個層次的深度，因此很難實現完全可見性。
• 依賴性識別：不同的編程語言和生態系統不同地處理依賴關係。 SCA 解決方案必須了解將開源程式碼匯入應用程式的所有方式。
• 脆弱性管理：每天都會發現新的脆弱性，脆弱性管理的來源並不總是最新的。因此，SCA 可能會錯過脆弱性，而開發團隊可能會難以跟上積壓的工作。