Software-Kompositionsanalyse (SCA)
Wissen Sie genau, was sich in Ihrer Software befindet und welche Komponenten Sie einem Risiko aussetzen.
Überblick
Die Software-Kompositionsanalyse identifiziert und verwaltet die Open-Source- und Drittanbieterkomponenten in Ihrer Software. Sie inventarisiert direkte und transitive Abhängigkeiten, meldet bekannte Schwachstellen und riskante oder inkompatible Lizenzen und erzeugt eine Software-Stückliste (Software Bill of Materials) in Standardformaten wie CycloneDX oder SPDX. Sie bietet Teams einen klaren Überblick über die Open-Source-Software, von der sie abhängen, mit kontinuierlicher Verfolgung der Abhängigkeiten und früher Identifizierung von Schwachstellen. Die SCA unterstützt zudem das Management der Lizenz-Compliance und hilft Organisationen, ihren Verpflichtungen über den gesamten Entwicklungszyklus hinweg nachzukommen.
Methodik & Standards
SBOM-Formate CycloneDX und SPDX, Abgleich von Schwachstellen mit NVD/OSV, Konzepte von OWASP Dependency-Track und OWASP A06 (verwundbare und veraltete Komponenten). Der Prozess umfasst die Analyse der Codebasis und die Erzeugung des SBOM, die Identifizierung der Komponenten, die Erkennung von Schwachstellen und die Validierung der Richtlinienkonformität.
Im Leistungsumfang enthalten
Das erhalten Sie
Häufig gestellte Fragen
Ein Penetrationstest greift Ihre laufende Anwendung an; die SCA inventarisiert den darin enthaltenen Drittanbietercode und meldet bekanntermaßen verwundbare Abhängigkeiten sowie Lizenzrisiken. Sie ergänzen sich gegenseitig.
Ja. Wir erstellen ein maschinenlesbares SBOM im Format CycloneDX oder SPDX, das direkte und transitive Abhängigkeiten abdeckt, was dem entspricht, was Unternehmenskäufer und der EU CRA zunehmend verlangen.
Die SCA hilft Organisationen, verwundbare Open-Source-Komponenten zu identifizieren, Lizenzverpflichtungen zu verwalten, die Softwarequalität zu verbessern und den Überblick über Drittanbieterabhängigkeiten über den gesamten Entwicklungszyklus hinweg zu behalten.