Анализ состава программного обеспечения (SCA)
Точно знайте, что находится в вашем программном обеспечении и какие компоненты подвергают вас риску.
Обзор
Анализ состава программного обеспечения выявляет и управляет компонентами с открытым исходным кодом и сторонними компонентами в вашем программном обеспечении. Он инвентаризирует прямые и транзитивные зависимости, сообщает об известных уязвимостях и рискованных или несовместимых лицензиях и создаёт спецификацию программного обеспечения (Software Bill of Materials) в стандартных форматах, таких как CycloneDX или SPDX. Он даёт командам чёткую видимость программного обеспечения с открытым исходным кодом, от которого они зависят, с непрерывным отслеживанием зависимостей и ранним выявлением уязвимостей. SCA также поддерживает управление соответствием лицензий, помогая организациям выполнять свои обязательства на протяжении всего цикла разработки.
Методология и стандарты
Форматы SBOM CycloneDX и SPDX, сопоставление уязвимостей NVD/OSV, концепции OWASP Dependency-Track и OWASP A06 (уязвимые и устаревшие компоненты). Процесс охватывает анализ кодовой базы и создание SBOM, идентификацию компонентов, обнаружение уязвимостей и проверку соответствия политикам.
Что входит
Что вы получаете
Часто задаваемые вопросы
Тестирование на проникновение атакует ваше работающее приложение; SCA инвентаризирует сторонний код, который оно содержит, и сообщает о зависимостях с известными уязвимостями, а также о рисках лицензирования. Они взаимодополняющие.
Да. Мы создаём машиночитаемый SBOM в формате CycloneDX или SPDX, охватывающий прямые и транзитивные зависимости, что соответствует тому, что всё чаще требуют корпоративные покупатели и EU CRA.
SCA помогает организациям выявлять уязвимые компоненты с открытым исходным кодом, управлять лицензионными обязательствами, повышать качество программного обеспечения и сохранять видимость сторонних зависимостей на протяжении всего цикла разработки.