Software Composition Analysis (SCA)
ist der Titel einer Aufgabe, die typischerweise Teil einer gut konfigurierten CI/CD-Kette ist. Spätestens nach dem Eingeben eines neuen Codes ermittelt der Nutzer die verwendeten Abhängigkeiten sowie alle transitiven Abhängigkeiten. Diese Stückliste – beziehungsweise die Software-Stückliste (SBOM) – wird anschließend verwendet, um das veröffentlichte Artefakt während seines gesamten Lebenszyklus zu verwalten. SCA ist der erste Schritt für alle sich anschließenden Prozesse.
Verwenden Sie ts-scan, um die
Zusammensetzung Ihrer Software zu analysieren!
Egal ob Quellcode, Binärdatei oder Docker –
ts-scan prüft jedes Format.
Verstehen, was analysiert wird
Dateibasierte Analyse
- Einige Programmiersprachen und Compiler unterstützen keine Pakete.
- Die Analyse muss auf Datei-Ebene erfolgen.
- Notwendig für Herkunftsprüfung (Snippet-Scanning).
- Kann effektiv und schnell durchgeführt werden.
- Das Repository umfasst den gesamten Analysebereich.
- Herausforderung: Submodule.
Paket-Analyse
- Bereits viele kostenlose Tools verfügbar, z.B. ts-scan
- Beachten Sie den Mechanismus: Nur Deklaration (1. Ebene) oder Transitiv (alle).
- Je Sprache mehr oder weniger Risiken für Modifikationen.
- Referenzieren von Paketen bleiben ein Problem, besonders über Systemgrenzen hinaus, z.B. jScript in Java etc.
Container-Analyse
- HINWEIS: VERMEIDEN SIE VORGEFERTIGTE CONTAINER!
Wenn möglich, erstellen Sie alle Container selbst! - Die Analyse der Schichten ist möglich, aber nicht unbedingt vollständig.
- KOPIER-Anweisungen zusammen mit Bash-Skripten bergen hohe Risiken.
- Docker enthält seit dem April 2022 den Befehl „SBOM“.
- ts-scan scannt auch Docker-Container.
Binär-Analyse
- Im Allgemeinen schwierig.
- Umgebungs- und architekturspezifisch.
- Ergebnisse sind fragwürdig, selbst durch den Vergleich von vorab erstellten Hashes.
- Was ist die Grundlage des Vergleichs?
- Wie lange möchten Sie unkontrollierte Drittanbieter-Software über Ihr Gerät bereitstellen?