Hasło słownika

SCA

Analiza składników aplikacji (zależności open source i komercyjnych) pod kątem podatności, licencji i ryzyk łańcucha dostaw.

Cyberbezpieczeństwokategoria
1aliasy
Kategoria: Cyberbezpieczeństwo
Aliasy: Software Composition Analysis

Opis

SCA zwykle bazuje na skanowaniu manifestów (npm, pip, Maven itd.) oraz na bazach CVE. Dobre SCA to nie tylko „znalezione CVE”, ale też polityki: blokowanie merge/release powyżej progu CVSS, wymuszenie aktualizacji, wyjątki z uzasadnieniem i terminem wygaszenia.

Przykłady

  • Pipeline blokuje release, gdy krytyczna podatność dotyczy zależności transytywnej.
  • Raport licencyjny: które biblioteki wymagają publikacji zmian (copyleft).
SBOMCVEZarządzanie ryzykiemCI/CDPatch management