SCA-Soft Composition Analysis软件成分分析

最新推荐文章于 2024-04-15 08:45:00 发布
置顶 最新推荐文章于 2024-04-15 08:45:00 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: SCA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qinh123/article/details/106668027
版权

1. 概述
目前
SCA(软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现。但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP(运行时应用安全保护);2017年时侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析;2018年继续强调针对开源软件的软件成份分析。
软件成分分析(SCA,Software Composition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析。
2. 关键评估指标
Gartner给出了SCA关键评估指标,包括:
1) 是否具备漏洞和配置扫描功能?
2) 能否将开源组件指纹与CVE关联?
3) 能否与SAST/DAST/IAST扫描集成?

Gartner给客户的建议则包括:
1) 不要轻易让SCA的使用者(一般是开发人员)切换工具;
2) 需要提供API以便使用者进行自动化集成;
3) 确保能够检查到开源软件的许可证问题;
4) SCA的测试过程要无缝集成到 DevSecOps流程中;
另外,在Gartner的2018年应用安全的Hype Cycle中,SCA相较于之前更加成熟,但仍处于成熟早期的阶段,属于应用安全测试的范畴,可以综合使用静态测试、动态测试、交互测试等手段。
SCA与SAST各有其负责的流程,SAST负责对自编的源代码进行安全检测。

qinh123
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SCA在得物DevSecOps平台上应用​
java_beautiful的博客
07-16 357
现代开发项目中,应用程序中使用的大部分代码都是由开源代码构成的,其余的代码主要是作为"胶水"来组装和调用各种函数。据中国信息通信研究院统计的数据, 2020年中国已经使用开源技术的企业占比为88.2%,比2018年增长6.8%;有计划使用的占9.5%;暂未计划使用开源技术的企业占比为2.1%, 可以看出,中国开源软件应用比例逐年提升。开源让这些软件更安全吗?根据通信研究院数据显示,2020年热门开源项目中至少含有一个漏洞占84%,较2019年增长9个百分点;含有高危漏洞的占60%,较2019年增长11个..
软件成分分析(SCA)详述
qzt961003的博客
07-26 1524
SCA是什么?SCA的分类?SCA的分级?SCA的流程?怎么选择SCA工具?
【转】软件成分分析(SCA)完全指南
tpriwwq的专栏
01-27 1098
软件成分分析(SCA)是查找开源软件包中的漏洞并学习如何修复它们的最佳选择,确保代码和应用程序处于安全状态。
什么是SCA(软件成分分析
m0_50579386的博客
03-16 8528
在开源软件日益盛行的今天,开源安全威胁成为企业组织无法回避的话题,与此同时,应用交付规模和频率的正在快速增长,软件成分分析对于安全合规风险管控和安全态势感知都是必不可少的能力。
「 网络安全常用术语解读 」软件成分分析SCA详解:从发展背景到技术原理再到业界常用检测工具推荐
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 2438
软件成分分析(Software Composition Analysis,SCA)是一种用于识别和分析软件内部组件及其关系的技术,旨在帮助开发人员更好地了解和管理其软件的构建过程,同时可帮助安全人员揭秘软件内部结构的神秘面纱。SCA技术的发展与软件行业的快速发展密不可分,下面将介绍SCA的发展背景、技术原理以及当前主流SCA工具。
SCA软件成分分析 简析(一)
MingXS2021的博客
02-10 1377
软件成分分析是一种对二进制软件的组成部分进行识别、分析和追踪的技术。
SCA-Ver3.0_软件无线电_SCA_
09-29
SCA(Software Communications Architecture,软件通信架构)是软件无线电领域中的一个重要概念,它定义了...通过深入学习和理解SCA-Ver3.0的相关文档和资料,开发者能够更好地设计和实现高效、灵活的软件无线电系统。
SCA软件架构设计理念分析
03-03
火龙果软件工程技术中心 1、概述SCA(ServiceComponentArchitecture)是一个开发SOA(Service-OrientedArchitecture)面向服务应用的简单模型规范,它描述用于使用SOA构建应用程序和系统的模型。它可简化使用SOA进行的...
OpenSCA-cli-master.zip
11-27
OpenSCA是一款开源的软件成分分析工具,用来扫描项目的第三方开源组件依赖及漏洞信息。 OpenSCA is a Software Composition Analysis (SCA) solution that supports the detection of open source component ...
SCA-8000系列信号连接适配器
11-25
SCA-8000系列信号连接适配器是航天测控公司研发的一款创新性连接器,专为解决测试系统与被测系统间复杂信号连接问题而设计。它集多种信号处理能力于一身,能够有效地整合数字、模拟、射频、电源以及光纤等多种类型...
vulnerability-assessment-tool是一个软件组合分析SCA工具
08-08
vulnerability-assessment-tool 是一个软件组合分析(SCA)工具,它扫描 Java 和 Python 应用软件包中的直接依赖项和间接依赖项,检测出已知漏洞。
国内外软件成分分析SCA产品评测
m0_50579386的博客
03-15 4354
国外SCA头部厂商基本上是"一站式"供应者,提供工具种类比较齐全,每个厂商都有各个擅长的领域,并且在领域内有"拳头"产品。 国内虽然还没有专业的评测机构对市面上的SCA产品做专业的评测,但国内厂商都有自己的核心产品,其中背靠中科院计算技术研究所、北大、国防科技大学的中科天齐、北大库博和泛联新安在人才储备、研发实力和产品全面性方面都有着不俗的表现。
下一代 SCA:流水线成分分析
分享平台工程、应用部署的最佳实践
09-09 443
软件成分分析(SCA)是检测开源库等依赖项中漏洞的重要工具。随着现代应用程序的组成从以自定义代码为主的转变为高达70-90%的开源,管理来自第三方的依赖项的漏洞比以往任何时候的重要性都高出许多。然而现有的 SCA 解决方案专注于应用程序代码中的依赖,但它们不涵盖软件交付流水线中的许多其他依赖项,比如构建模块(如 GitHub Actions)、开发工具(如 Jenkins)、开发工具插件(如插件生态系统)等。到目前为止,保护整个流水线包含的依赖很少受到关注。
漫谈SCA(软件成分分析)测试技术:原理、工具与准确性
华为云官方博客
04-29 2326
摘要:本文介绍了SCA技术的基本原理、应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势;让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问题,从而帮助提升软件安全质量。
【文末下载PPT】李中文:软件成分安全分析(SCA)能力的建设与演进
weixin_47208161的博客
04-29 612
本文首发原作者在CIS 2021的演讲PPT,重点介绍了软件供应链在应用研发过程引入的风险,业界的SCA理念,以及美团安全实际建设过程中遇到的问题和指标体系。不要被理论吓住,SCA没有什么黑科技,没必要想得过于复杂,分确定目标指标,收集资产和情报,确定运营标准,建立平台四步走,花两三年时间简简单单把每一个环节的基本功做好,就能解决问题达成效果。问题解决到一定程度,就有精力...
干货 | DevSecOps在携程的最佳实践
携程技术
07-09 1459
作者简介Living,携程高级基础安全工程师,关注应用安全、渗透测试方面的技术。一、DevSecOps面临的挑战作为业务覆盖机票、酒店、度假、汽车票、火车票、支付等各个方面,为全球用户...
如何应对开源组件⻛险?软件成分安全分析(SCA)能力的建设与演进
美团技术团队
05-26 2124
总第511篇2022年 第028篇随着 DevSecOps 概念的推广,以及云原生安全概念的快速普及,研发安全和操作环境安全现在已经变成了近几年非常热的词汇。目前,在系统研发的过程中,开源组件引入的比例越来越高,所以在开源软件治理层面安全部门需要投入更多的精力。但由于早期技术债的问题,很多企业内部在整个研发流程中对使用了哪些开源组件、这些开源组件可能存在哪些严重的安全隐患...
你怎么看SCA软件成分分析工具
02-07
SCA(软件成分分析)是一种常用的软件分析工具,它通常用于识别软件组件的依赖关系、确定软件组成部分的来源以及分析软件的复杂度。SCA工具可以帮助开发人员更好地理解软件系统的构建方式和运行机制,并为其他软件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值