מהי ניתוח הרכב תוכנה (SCA) ?
ניתוח הרכב תוכנה (SCA) הוא תהליך אבטחה שמזהה ומנהל סיכונים בספריות צד שלישי המשמשות בתוך יישום.
יישומים מודרניים מסתמכים רבות על ספריות קוד פתוח, רכיבי צד שלישי או מסגרות עבודה. פגיעויות בתלות אלו יכולות לחשוף את כל היישום לתוקפים.
כלי SCA סורקים תלות כדי למצוא פגיעויות, חבילות מיושנות וסיכוני רישוי.
מדוע SCA חשוב באבטחת סייבר
יישומים כיום בנויים עם רכיבי צד שלישי וספריות קוד פתוח. התוקפים לעיתים קרובות תוקפים רכיבים אלו כדי לנצל פגיעויות, כפי שנראה במקרים בעלי פרופיל גבוה כמו הפגיעות ב-Log4j.
יתרונות של SCA
ניתוח הרכב תוכנה (SCA) עוזר לארגונים ל:
- לזהות פגיעויות בספריות בשימוש לפני שהן מגיעות לייצור
- לעקוב אחר רישיונות ספריות קוד פתוח כדי להימנע מסיכונים משפטיים
- להפחית את הסיכון להתקפות שרשרת אספקה
- לעמוד בדרישות מסגרות אבטחה כמו PCI DSS ו-NIST
איך SCA עובד
- סריקת עץ התלויות של היישום
- השוואת רכיבים מול מאגר נתונים של פגיעויות ידועות (לדוגמה, NVD)
- סימון חבילות מיושנות או מסוכנות, והצעת עדכון או תיקונים למפתחים
- מספקת שקיפות בשימוש ברישיונות קוד פתוח
בעיות נפוצות שמזוהות על ידי SCA
- ספריות קוד פתוח פגיעות (לדוגמה, Log4J)
- תלויות מיושנות עם פגמי אבטחה
- קונפליקטים ברישוי (GPL, Apache, וכו’)
- סיכון לחבילות זדוניות במאגרי ציבור
דוגמה
צוות המפתחים בונה יישום אינטרנטי ומשתמש בגרסה מיושנת של ספריית לוגים. כלי SCA סורקים ומוצאים שגרסה זו פגיעה להתקפת ביצוע קוד מרחוק (RCE). הצוות מעדכן את התלות לספרייה מאובטחת לפני שהיישום עובר לייצור
מונחים קשורים
- בדיקות אבטחת יישומים דינמיות (DAST)
- בדיקות אבטחת יישומים סטטיות (SAST)
- בדיקות אבטחת יישומים אינטראקטיביות (IAST)
- אבטחת יישומים
- בדיקות אבטחת יישומים
- SBOM (רשימת חומרים לתוכנה)
- התקפת שרשרת אספקה