1. 概述
目前
SCA(软件成分分析)在2016-2018年Gartner发布的DevSecOps中均有出现。但每年的关注点不同,在2016年的报告中,强调的是DevSecOps的安全测试和RASP(运行时应用安全保护);2017年时侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析;2018年继续强调针对开源软件的软件成份分析。
软件成分分析(SCA,Software Composition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析。
2. 关键评估指标
Gartner给出了SCA关键评估指标,包括:
1) 是否具备漏洞和配置扫描功能?
2) 能否将开源组件指纹与CVE关联?
3) 能否与SAST/DAST/IAST扫描集成?

Gartner给客户的建议则包括:
1) 不要轻易让SCA的使用者(一般是开发人员)切换工具;
2) 需要提供API以便使用者进行自动化集成;
3) 确保能够检查到开源软件的许可证问题;
4) SCA的测试过程要无缝集成到 DevSecOps流程中;
另外,在Gartner的2018年应用安全的Hype Cycle中,SCA相较于之前更加成熟,但仍处于成熟早期的阶段,属于应用安全测试的范畴,可以综合使用静态测试、动态测试、交互测试等手段。
SCA与SAST各有其负责的流程,SAST负责对自编的源代码进行安全检测。

SCA-Soft Composition Analysis软件成分分析相关推荐

  1. 漫谈SCA(软件成分分析)测试技术:原理、工具与准确性

    本文分享自华为云社区<漫谈SCA测试技术(一)>,原文作者:安全技术猿 . 1.什么是SCA SCA(Software Composition Analysis)软件成分分析,通俗的理解就 ...

  2. 北大软件“软件成分分析与漏洞检测工具”(CoBOT—SCA)正式发布

    根据全球知名IT研究与顾问咨询公司Gartner统计,从2010年到2018年软件代码中采用开源框架或组件.第三方库的比例每年以30%的速度增长,大量的软件系统引入开源代码和第三方库,有的系统引用开源 ...

  3. 软件成分分析(SCA)详述

    一.SCA是什么? 今天的软件开发普遍遵循敏捷实践,发布和部署周期都很短这导致开发团队非常依赖开源来加速创新迭代速度.因此,对团队项目中包含的每个开源组件进行跟踪非常重要,这样可以避免法律不合规的风险 ...

  4. 什么是SCA(软件成分分析)

    1.基本概念 软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别.分析和追踪的技术.专门用于分析开发人员使用的各种源码.模块.框架和 ...

  5. 从开源组件安全看SCA软件成分分析技术

    1.基本概念 软件成分分析(SCA,Software Composition Analysis)是一种对二进制软件的组成部分进行识别.分析和追踪的技术.专门用于分析开发人员使用的各种源码.模块.框架和 ...

  6. 浅谈软件成分分析(SCA)在企业开发安全建设中的落地思路

    前言 开源软件具有开放.共享.自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分.根据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件.而来自Sonatyp ...

  7. 什么是软件成分分析(SCA)安全测试技术

    [摘要] 本文介绍了SCA技术的基本原理.应用场景,业界TOP SCA商用工具的分析说明以及技术发展趋势:让读者对SCA技术有一个基本初步的了解,能更好的准确的应用SCA工具来发现应用软件中一些安全问 ...

  8. SCA软件成分分析 简析(一)

    一.概述 SCA全称 Software Compostition Analysis,译为软件成分分析,即通过分析软件源码提取项目依赖的第三方组件及其版本.许可证.模块.框架和库等信息,生成软件物料清单 ...

  9. SCA(软件成分分析)中的知识图谱技术

    在开源广泛使用的今天,如何解决开源组件中潜在的风险问题也被众多企业提上了日程.开源风险包括漏洞风险,许可证风险等等,现在一般的解决方法是使用SCA工具. SCA工具最基础的检测能力就是对开源组件中的依 ...

最新文章

  1. 计算机科学CSTA,学编程,搞懂CSTA K-12计算机科学学习标准
  2. php读取usb设备信息,急,请问如何获取USB设备的路径,非HID类型
  3. php5.5 session,(五)ThinkPHP实践之Session驱动-TTLSA
  4. php 10060,远程连接mysql 10060错误
  5. hoj2434 going to know him
  6. JVM优化系列-Java对象引用与可触及强度
  7. identity 1 1 mysql_identity在mysql中怎么用啊以下代码的错误在哪里
  8. Pytesseract-windows安装及初步使用
  9. paip.2013年技术趋势以及热点 v3.0 cao
  10. MIMO-OTFS in High-Doppler Fading Channels:Signal Detection and Channel Estimation(4)
  11. 4、金字塔原理:演示的逻辑(10-12)-阅读笔记
  12. DllRegisterServer调用失败
  13. php美颜相机,手机照片美化软件哪个好|美颜相机官方版-官方版
  14. Pentaho相关组件下载,sourceforget加速
  15. Python将.nii格式文件转换为.png格式
  16. WIN7下点击安全删除硬件没反应解决办法
  17. 基于go语言的史上最流弊的学生成绩管理系统
  18. 关于www.baidu.com无法打开的问题
  19. 微信小程序,横向布局,纵向布局
  20. html弹性布局平均分配,flex弹性布局.html

热门文章

  1. SAP中科目自动/手工记账控制测试
  2. 定义一个结构体变量(包括年、月、日)。计算该日在本年中是第几天,注意闰年问题。
  3. iCELLis 在病毒载体疫苗上的应用
  4. Nonebot QQ机器人插件六:随机笑话(语音)
  5. 软件测试适合女生吗?
  6. Windows 7 SP1 64位下HP deskjet 3325打印机驱动的安装
  7. 厘米和磅的转换程序python_笨方法学Python 习题5:更多的变量和打印
  8. 官宣,重量级评委团强势加持腾讯广告算法大赛
  9. 我训练了一个AI来复制我的声音,结果吓坏了我
  10. 大数据量并发处理(一)