Software Composition Analysis (SCA)

Unter Software Composition Analyse versteht man die Bestimmung der Zusammensetzung einer Software. Aufgrund der Nutzung von Bibliotheken mit bereits entwickelten Routinen, welche wiederum Bibliotheken einbinden, die ihrerseits wiederum Bibliotheken nutzen, etc., entsteht eine hohe Integrationstiefe. Diese zu analysieren und aufzuzeigen ist Aufgabe der Composition Analyse. Das Ergebnis ist ein Software Bill of Materials, kurz SBOM.

Die Ergebnisse solcher Analysen sind die Voraussetzung für die Untersuchung auf bekannte Schwachstellen und stellen somit ein grundlegendes Element für die Wartung von Software über den Lebenszyklus dar. Nur mit Hilfe versionierter SBOMs lassen sich Software-Lösungen im Feld mittelfristig warten und die Anforderungen des Cyber Resilience Acts (CRA) erfüllen.

TrustSource stellt mit ts-scan ein Open-Source-Werkzeug zur Verfügung, das die Anforderungen erfüllt und eine einheitliche Nutzung über diverse Ökosysteme erlaubt.