SCA (Software Composition Analysis) och SBOM (Software Bill of Materials) nämns ofta tillsammans i diskussioner om mjukvarusäkerhet, men de fyller olika funktioner och kompletterar varandra på ett värdefullt sätt.
SCA: Analys av mjukvara
SCA (Software Composition Analysis) innebär att man analyserar mjukvaran för att identifiera exakt vilka tredjepartskomponenter och beroenden som används, samt vilka kända säkerhetsrisker som kan finnas kopplade till dessa.
Analysen bygger ofta på att man har tillgång till källkoden, vilket oftast sker under utvecklingsfasen, men kan också göras på slutprodukten (binärfil eller container).
De flesta SCA-verktyg har idag stöd för att spara resultatet i ett standardformat - en SBOM - såsom SPDX eller CycloneDX.
Om man bygger sin egen mjukvara, för internt bruk eller för kunders användning, är SCA en grundläggande pusselbit för att uppfylla kraven på säkerhet och transparens.
Läs mer om hur man skapar en SBOM.
SBOM: Innehållsförteckning för mjukvara
En SBOM är i grund och botten en innehållsförteckning för mjukvara. Med den kan man analysera vilka komponenter som används i mjukvaran och eventuella säkerhetsrisker – oavsett om man har tillgång till källkoden eller inte.
SBOM är därför särskilt användbart när du:
-
Arbetar med externa applikationer eller stängda komponenter: Eftersom SBOM inte kräver tillgång till källkod kan man få inblick i vilka komponenter som används även när man förlitar sig på tredjepartsleverantörer.
-
Vill uppfylla krav på transparens: Både interna policyer och externa regelverk kan kräva att man dokumenterar vilka komponenter inkluderas i en mjukvara.
-
Behöver spåra sårbarheter i över tid: Oftast är det inte bara en senaste versionen av en mjukvara som är relevant att analysera ur ett säkerhetsperspektiv. När en sårbarhet upptäcks i en komponent ställer man sig ofta frågan - Hur länge har denna sårbarhet funnits i våra system eller ute hos våra kunder?
Det är oftast betydligt enklare att spara undan en SBOM för varje version av sin mjukvara än att kontinuerligt gå tillbaka och analysera ex källkod eller container.