개요
소프트웨어 구성 분석은 여러분의 소프트웨어에 포함된 오픈소스 및 서드파티 구성 요소를 식별하고 관리합니다. 직접 및 전이 종속성을 인벤토리화하고, 알려진 취약점과 위험하거나 호환되지 않는 라이선스를 표시하며, CycloneDX 또는 SPDX와 같은 표준 형식으로 소프트웨어 자재 명세서(Software Bill of Materials)를 생성합니다. 이는 팀이 의존하는 오픈소스 소프트웨어에 대한 명확한 가시성을 제공하며, 지속적인 종속성 추적과 조기 취약점 식별을 가능하게 합니다. SCA는 또한 라이선스 컴플라이언스 관리를 지원하여 조직이 개발 생명주기 전반에 걸쳐 의무를 충족하도록 돕습니다.
방법론 및 표준
CycloneDX 및 SPDX SBOM 형식, NVD/OSV 취약점 매칭, OWASP Dependency-Track 개념, OWASP A06(취약하고 오래된 구성 요소)을 따릅니다. 이 프로세스는 코드베이스 스캔 및 SBOM 생성, 구성 요소 식별, 취약점 탐지, 정책 컴플라이언스 검증을 포함합니다.
포함 내용
제공 산출물
자주 묻는 질문
침투 테스트는 실행 중인 애플리케이션을 공격합니다. SCA는 그 안에 포함된 서드파티 코드를 인벤토리화하고 알려진 취약 종속성과 라이선스 위험을 표시합니다. 둘은 상호 보완적입니다.
네. 당사는 직접 및 전이 종속성을 아우르는 기계 판독 가능한 SBOM을 CycloneDX 또는 SPDX로 생성하며, 이는 엔터프라이즈 구매자와 EU CRA가 점점 더 요구하는 사항입니다.
SCA는 조직이 취약한 오픈소스 구성 요소를 식별하고, 라이선스 의무를 관리하며, 소프트웨어 품질을 향상하고, 개발 생명주기 전반에 걸쳐 서드파티 종속성에 대한 가시성을 유지하는 데 도움이 됩니다.