SSDLC - Secure Software Development Life Cycle: SCA - Software Composition Analysis (Analyse der Softwarezusammensetzung)
Software wird selten von Grund auf neu programmiert, meist werden von Drittanbietern so genannte Bibliotheken, oder andere Softwarebestandteile wie auch Frameworks verwendet, also Software Grundgerüste, um nicht ständig das Rad neu zu erfinden. Das macht auch durchaus Sinn, kann Kosten und Fehler reduzieren.
Die Problematik besteht aber, wenn man nur minimal, oder gar keinen Überblick über eben diese Komponenten hat, und eben diese Komponenten schwerwiegende Softwareschwachstellen haben. SCA Tools sind ähnlich SAST Tools, da man hier ebenso Zugriff auf den Quellcode benötigt, manche können auch für CI/CD Pipelines* verwendet werden,
Im Prinzip werden alle Komponenten und Zusammenhänge getestet und analysiert, d.h. Versionen, ob diese noch aktuell sind und mögliche Schwachstellen. Prominent ist z.B. die Log4J Schwachstelle. Log4J wurde in tausenden von Anwendungen verwendet.
> OWASP Überblick zu SAST/SCA Tools
*CI/CD (Continuous Integration/Continuous Delivery) sind bewährte DevOps-Methoden zur Automatisierung in der Anwendungsentwicklung. Die Hauptkonzepte von CI/CD sind Continuous Integration (kontinuierliche Integration), Continuous Delivery und Continuous Deployment (kontinuierliche Verteilung).
CI/CD automatisiert alle Phasen der Anwendungsentwicklung und stellt Kunden neue Apps kontinuierlich bereit. Dadurch werden Probleme, die bei der Integration von neuem Code für DevOps-Teams auftreten (auch bekannt als die „Integrationshölle") gelöst und eine schnelle, konsistente Anwendungsentwicklung unterstützt.
Quelle und weitere Detail Informationen zu CI/CD
