Análisis de composición de software (SCA)
Sepa exactamente qué hay dentro de su software y qué componentes lo exponen a un riesgo.
Visión general
El análisis de composición de software identifica y gestiona los componentes de código abierto y de terceros presentes en su software. Inventaría las dependencias directas y transitivas, señala las vulnerabilidades conocidas y las licencias arriesgadas o incompatibles, y genera una lista de materiales de software (Software Bill of Materials) en formatos estándar como CycloneDX o SPDX. Ofrece a los equipos una visibilidad clara del software de código abierto del que dependen, con un seguimiento continuo de las dependencias y una identificación temprana de las vulnerabilidades. El SCA también respalda la gestión del cumplimiento de licencias, ayudando a las organizaciones a cumplir sus obligaciones a lo largo de todo el ciclo de desarrollo.
Metodología y estándares
Formatos SBOM CycloneDX y SPDX, correspondencia de vulnerabilidades NVD/OSV, conceptos de OWASP Dependency-Track y OWASP A06 (componentes vulnerables y obsoletos). El proceso cubre el análisis de la base de código y la generación del SBOM, la identificación de los componentes, la detección de vulnerabilidades y la validación del cumplimiento de las políticas.
Qué incluye
Qué recibe
Preguntas frecuentes
Un test de penetración ataca su aplicación en ejecución; el SCA inventaría el código de terceros que contiene y señala las dependencias con vulnerabilidades conocidas, así como los riesgos de licencia. Son complementarios.
Sí. Producimos un SBOM legible por máquina en formato CycloneDX o SPDX que abarca las dependencias directas y transitivas, que es lo que los compradores empresariales y el EU CRA exigen cada vez más.
El SCA ayuda a las organizaciones a identificar los componentes de código abierto vulnerables, a gestionar las obligaciones de licencia, a mejorar la calidad del software y a conservar la visibilidad de las dependencias de terceros a lo largo de todo el ciclo de desarrollo.