❓Что такое анализ состава программного обеспечения (SCA)
❕Анализ состава программного обеспечения (SCA) – это процесс обнаружения компонентов с открытым исходным кодом, используемых в кодовой базе приложения. Этот автоматизированный процесс является частью тестирования безопасности приложений, которое оценивает безопасность приложения, качество кода и соответствие требованиям. ❓Как работает SCA Чтобы выполнить SCA вы должны направить ему файлы сборки вашего приложения. Эти файлы можно найти на сервере постановки, в каталоге сборки CI/CD пайплайна. Инструменты SCA сканируют кодовую базу приложения, чтобы распознать файлы, которые могут быть получены из сторонних продуктов. Инструменты могут использовать различные тактики идентификации, например, уникальный предварительно вычисленный список хэшей файлов известного приложения. Таким образом, когда инструмент SCA запускается, он вычисляет хэши файлов в вашем приложении и сравнивает их со списком. Если хэши совпадают, инструмент SCA найдет продукт и его версию, которую вы используете, и разберет исходный код, чтобы обнаружить фрагменты несвободного кода, используемые в вашем коде. Инструменты SCA также поддерживают и обновляют свой список уязвимостей, чтобы вы могли использовать его для поиска проблем в вашем приложении спустя годы после выпуска. Они могут проверять открытый код, менеджеры пакетов, двоичные файлы, файлы манифеста, образы контейнеров и т.д.
Falcongaze
❓Что такое анализ состава программного обеспечения (SCA)
❕Анализ состава программного обеспечения (SCA) – это процесс обнаружения компонентов с открытым исходным кодом, используемых в кодовой базе приложения.
Этот автоматизированный процесс является частью тестирования безопасности приложений, которое оценивает безопасность приложения, качество кода и соответствие требованиям.
❓Как работает SCA
Чтобы выполнить SCA вы должны направить ему файлы сборки вашего приложения. Эти файлы можно найти на сервере постановки, в каталоге сборки CI/CD пайплайна.
Инструменты SCA сканируют кодовую базу приложения, чтобы распознать файлы, которые могут быть получены из сторонних продуктов.
Инструменты могут использовать различные тактики идентификации, например, уникальный предварительно вычисленный список хэшей файлов известного приложения.
Таким образом, когда инструмент SCA запускается, он вычисляет хэши файлов в вашем приложении и сравнивает их со списком.
Если хэши совпадают, инструмент SCA найдет продукт и его версию, которую вы используете, и разберет исходный код, чтобы обнаружить фрагменты несвободного кода, используемые в вашем коде.
Инструменты SCA также поддерживают и обновляют свой список уязвимостей, чтобы вы могли использовать его для поиска проблем в вашем приложении спустя годы после выпуска. Они могут проверять открытый код, менеджеры пакетов, двоичные файлы, файлы манифеста, образы контейнеров и т.д.