SCA-Soft Composition Analysis软件成分分析

最新推荐文章于 2024-08-29 19:09:40 发布
置顶 最新推荐文章于 2024-08-29 19:09:40 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: SCA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinh123/article/details/106668027
版权

1. 概述
目前
SCA(软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现。但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP(运行时应用安全保护);2017年时侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析;2018年继续强调针对开源软件的软件成份分析。
软件成分分析(SCA,Software Composition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析。
2. 关键评估指标
Gartner给出了SCA关键评估指标,包括:
1) 是否具备漏洞和配置扫描功能?
2) 能否将开源组件指纹与CVE关联?
3) 能否与SAST/DAST/IAST扫描集成?

Gartner给客户的建议则包括:
1) 不要轻易让SCA的使用者(一般是开发人员)切换工具;
2) 需要提供API以便使用者进行自动化集成;
3) 确保能够检查到开源软件的许可证问题;
4) SCA的测试过程要无缝集成到 DevSecOps流程中;
另外,在Gartner的2018年应用安全的Hype Cycle中,SCA相较于之前更加成熟,但仍处于成熟早期的阶段,属于应用安全测试的范畴,可以综合使用静态测试、动态测试、交互测试等手段。
SCA与SAST各有其负责的流程,SAST负责对自编的源代码进行安全检测。

qinh123
关注
专栏目录
软件成分分析(SCA)详述
qzt961003的博客
07-26 1663
SCA是什么?SCA的分类?SCA的分级?SCA的流程?怎么选择SCA工具?
软件成分分析技术介绍
tomcat的专栏
08-01 3004
软件成分分析及相关技术集锦 关于软件成分分析 SCASoftware Composition Analysis软件成本分析是一种对二进制软件的组成部分进行识别、分析和追踪的技术。在开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力。 软件成分分析的基本原理 SCA 的目标是第三方基础组件/可执行程序/源代码等类型的以二进制形式存储的文件,包括但不限于源代码片段或 Package,可执
SCA软件成分分析 简析(一)
m0_59598029的博客
04-19 1825
SCA全称 Software CompostitionAnalysis,译为软件成分分析,即通过分析软件源码提取项目依赖的第三方组件及其版本、许可证、模块、框架和库等信息,生成软件物料清单(SBOM,SoftwareBill-of-Materials),根据SBOM分析项目是否使用了存在已知漏洞的组件,后期其它组件爆出漏洞时可根据SBOM快速排查受影响项目。解决针对开源软件的漏洞扫描、检测和管理问题。
【产品那些事】什么是软件成分分析(SCA)?
最新发布
今天是几号的博客
08-29 1618
在现代软件开发环境中,开发团队经常会依赖于开源的第三方组件来节省时间和提高效率。这些组件本身是由开源社区(Github、Gitee)贡献者来开发,然而,这也带来了一些潜在的安全风险,特别是涉及到供应链安全(这些组件的开发者队安全队安全方面的了解几乎为0、恶意的供应链投毒风险)和第三方组件的质量问题(存在抄袭、开源许可证合规风险)。SCASoftware Composition Analysis)译为软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。
Tuscany SCA软件架构设计理念分析鉴赏 (一)
10-22 8368
Tucany  SCA软件架构设计理念分析(一)李俊杰1.     概述SCA (Service Component Architecture) 是一个开发SOA(Service-Oriented Architecture)面向服务应用的简单模型规范,它描述用于使用 SOA 构建应用程序和系统的模型。它可简化使用 SOA 进行的应用程序开发和实现工作。SCA仅仅是个规范(http://
「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 3738
软件成分分析Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具。
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息
04-25
OpenSCA,全称为Open Source Component Analysis,是一款强大的开源软件成分分析工具,旨在帮助开发者识别并管理项目中的第三方开源组件,以及这些组件可能存在的安全漏洞。在软件开发过程中,使用开源组件可以极大...
SCA-Ver3.0_软件无线电_SCA_
09-29
SCASoftware Communications Architecture,软件通信架构)是软件无线电领域中的一个重要概念,它定义了...通过深入学习和理解SCA-Ver3.0的相关文档和资料,开发者能够更好地设计和实现高效、灵活的软件无线电系统。
基于Python的图像描述生成SCA-CNN模型设计源码
04-11
本源码提供了一个基于Python的图像描述生成SCA-CNN模型设计。项目包含35个文件,其中包括21个PNG图片、7个Python源文件、4个JPG图片、1个Markdown文档、1个PDF文件和1个Jupyter Notebook文件。这个系统是一个图像...
思多普(SDAP-Asca)精准代码分析及修复工具简介 - 教学版.pdf
12-14
通过使用SDAP-Asca,学生不仅可以学习如何进行源代码静态分析,还能实践代码审计和问题修复,从而提升软件开发和测试技能。同时,教师和管理员也能通过平台进行有效管理和监控,促进教学质量的提升。这款工具的易用...
DependencyCheck:OWASP依赖项检查是一种软件成分析实用程序,它可以检测应用程序依赖项中公开披露的漏洞
02-05
依赖检查 依赖项检查是一种软件成分析(SCA)工具,它试图检测项目依赖项中包含的公开披露的漏洞。 它通过确定给定依赖项是否存在通用平台枚举(CPE)标识符来完成此操作。 如果找到,它将生成一个报告,链接到相关的CVE条目。 可以在上找到文档和生产二进制发行版的。 另外,可以在上找到有关体系结构和扩展依赖项检查的方法的更多信息。 6.0.0升级通知 如果升级到6.0.0或更高版本,则会发生重大更改。 如果收到指示无法连接数据库的错误,则需要运行purge命令来删除旧数据库: gradle: ./gradlew dependencyCheckPurge maven: mvn org.owa
vulnerability-assessment-tool是一个软件组合分析SCA工具
08-08
vulnerability-assessment-tool 是一个软件组合分析(SCA)工具,它扫描 Java 和 Python 应用软件包中的直接依赖项和间接依赖项,检测出已知漏洞。
sca-appliance-patdev:Supportconfig分析模式开发框架
03-13
sca-appliance-patdev 用于创建自定义SCA模式的框架。 Supportconfig Analysis(SCA)设备是一组脚本,这些脚本使用SCA模式来分析supportconfig存档。 目的是识别已知问题并将其报告给用户,以减少解决问题的时间。
漫谈SCA软件成分分析)测试技术:原理、工具与准确性
nidongla的博客
04-29 851
摘要:本文介绍了SCA技术的基本原理、应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势;让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问题,从而帮助提升软件安全质量。 1、什么是SCA优惠券 https://www.fenfaw.cn/ SCASoftware Composition Analysis软件成分分析,通俗的理解就是通过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。我们知道在当今软件开发中,引入开源软件(注1.
【转】软件成分分析(SCA)完全指南
tpriwwq的专栏
01-27 1454
软件成分分析(SCA)是查找开源软件包中的漏洞并学习如何修复它们的最佳选择,确保代码和应用程序处于安全状态。
从开源组件安全看SCA软件成分分析技术
热门推荐
ubisectech的博客
03-15 1万+
在开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力
你怎么看SCA软件成分分析工具
02-07
SCA软件成分分析)是一种常用的软件分析工具,它通常用于识别软件组件的依赖关系、确定软件组成部分的来源以及分析软件的复杂度。SCA工具可以帮助开发人员更好地理解软件系统的构建方式和运行机制,并为其他软件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值