概要
ソフトウェアコンポジション解析は、ソフトウェアに含まれるオープンソースおよびサードパーティのコンポーネントを特定し管理します。直接および推移的な依存関係をインベントリ化し、既知の脆弱性とリスクのある、または互換性のないライセンスを指摘し、CycloneDXやSPDXといった標準フォーマットでソフトウェア部品表(SBOM)を生成します。継続的な依存関係の追跡と早期の脆弱性特定により、依存するオープンソースソフトウェアについての明確な可視性をチームに提供します。SCAはまた、ライセンスコンプライアンス管理を支援し、組織が開発ライフサイクルを通じて義務を果たすのに役立ちます。
方法論&標準
CycloneDXおよびSPDXのSBOMフォーマット、NVD/OSVによる脆弱性のマッチング、OWASP Dependency-Trackの概念、OWASP A06(脆弱で古くなったコンポーネント)。プロセスは、コードベースのスキャンとSBOMの生成、コンポーネントの特定、脆弱性の検出、ポリシーコンプライアンスの検証を網羅します。
含まれる内容
直接および推移的な依存関係の完全なインベントリ
悪用可能性で優先順位付けされたCVEの結果
ライセンスリスクの分析(コピーレフトおよび非互換ライセンス)
依存関係のインベントリとバージョンのマッピング
OSSコンポーネント全体にわたる脆弱性の検出
ライセンスコンプライアンスのレビュー
SBOMの生成
提供される成果物
CycloneDXまたはSPDX形式のSBOM
優先順位付けされたアップグレードおよび修正のロードマップ
任意のCI/CD統合ガイダンス
経営層向けレポート
OWASP準拠経営層向けレポート修正ガイダンス再テストを含む証明書スキャナーのダンプなし
よくある質問
侵入テストは稼働中のアプリケーションを攻撃します。SCAはその中にあるサードパーティコードをインベントリ化し、既知の脆弱な依存関係とライセンスリスクを指摘します。両者は補完的です。
はい。直接および推移的な依存関係を網羅する、CycloneDXまたはSPDXの機械可読なSBOMを作成します。これはエンタープライズの購買者やEU CRAがますます求めているものです。
SCAは、組織が脆弱なオープンソースコンポーネントを特定し、ライセンス義務を管理し、ソフトウェア品質を向上させ、開発ライフサイクルを通じてサードパーティ依存関係への可視性を維持するのに役立ちます。