Análise de composição de software (SCA)
Saiba exatamente o que há dentro do seu software e quais componentes o expõem a risco.
Visão geral
A análise de composição de software identifica e gerencia os componentes de código aberto e de terceiros presentes em seu software. Ela inventaria as dependências diretas e transitivas, sinaliza as vulnerabilidades conhecidas e as licenças arriscadas ou incompatíveis, e gera uma lista de materiais de software (Software Bill of Materials) em formatos padrão como CycloneDX ou SPDX. Oferece às equipes visibilidade clara sobre o software de código aberto do qual dependem, com rastreamento contínuo de dependências e identificação precoce de vulnerabilidades. A SCA também apoia a gestão da conformidade de licenças, ajudando as organizações a cumprir suas obrigações ao longo do ciclo de desenvolvimento.
Metodologia & Padrões
Formatos de SBOM CycloneDX e SPDX, correspondência de vulnerabilidades NVD/OSV, conceitos do OWASP Dependency-Track e o OWASP A06 (componentes vulneráveis e desatualizados). O processo abrange a análise da base de código e a geração do SBOM, a identificação de componentes, a detecção de vulnerabilidades e a validação da conformidade com as políticas.
O que está incluído
O que você recebe
Perguntas Frequentes
Um teste de intrusão ataca sua aplicação em execução; a SCA inventaria o código de terceiros que ela contém e sinaliza as dependências conhecidas como vulneráveis, bem como os riscos de licença. São complementares.
Sim. Produzimos um SBOM legível por máquina no formato CycloneDX ou SPDX cobrindo as dependências diretas e transitivas, que é o que os compradores corporativos e o EU CRA exigem cada vez mais.
A SCA ajuda as organizações a identificar componentes de código aberto vulneráveis, gerenciar obrigações de licença, melhorar a qualidade do software e manter a visibilidade sobre as dependências de terceiros ao longo do ciclo de desenvolvimento.