Analyse de composition logicielle (SCA)
Sachez exactement ce qui se trouve dans votre logiciel et quels composants vous exposent à un risque.
Aperçu
L'analyse de composition logicielle identifie et gère les composants open source et tiers présents dans votre logiciel. Elle inventorie les dépendances directes et transitives, signale les vulnérabilités connues et les licences risquées ou incompatibles, et génère une nomenclature logicielle (Software Bill of Materials) dans des formats standard comme CycloneDX ou SPDX. Elle offre aux équipes une visibilité claire sur les logiciels open source dont elles dépendent, avec un suivi continu des dépendances et une identification précoce des vulnérabilités. La SCA prend également en charge la gestion de la conformité des licences, aidant les organisations à respecter leurs obligations tout au long du cycle de développement.
Méthodologie et standards
Formats SBOM CycloneDX et SPDX, mise en correspondance des vulnérabilités NVD/OSV, concepts OWASP Dependency-Track et OWASP A06 (composants vulnérables et obsolètes). Le processus couvre l'analyse de la base de code et la génération du SBOM, l'identification des composants, la détection des vulnérabilités et la validation de la conformité aux politiques.
Ce qui est inclus
Ce que vous recevez
Questions fréquentes
Un test d'intrusion attaque votre application en cours d'exécution ; la SCA inventorie le code tiers qu'elle contient et signale les dépendances connues comme vulnérables ainsi que les risques de licence. Ils sont complémentaires.
Oui. Nous produisons un SBOM lisible par machine au format CycloneDX ou SPDX couvrant les dépendances directes et transitives, ce qui correspond à ce que les acheteurs d'entreprise et l'EU CRA exigent de plus en plus.
La SCA aide les organisations à identifier les composants open source vulnérables, à gérer les obligations de licence, à améliorer la qualité logicielle et à conserver une visibilité sur les dépendances tierces tout au long du cycle de développement.