DEV Community

Cover image for O que é SCA?
Ivo Dias for M3Corp

Posted on • Edited on

O que é SCA?

O que é SCA?
O Veracode Software Composition Analysis (SCA) monitora continuamente o software e seu ecossistema para automatizar a localização e correção de vulnerabilidades de código aberto e riscos de conformidade de licença.

Os recursos de aprendizado de máquina e correção automática do Veracode SCA prescrevem correções inteligentes otimizadas para minimizar a interrupção da produção, levando a uma maior precisão e taxas de correção.

Existem duas maneiras pelas quais o SCA pode ser utilizado:

  1. Upload de binários (também conhecido como Upload & Scan) – melhor se já usam o SAST
  2. Baseado em agente – melhor para CI/CD e automação de pipeline, executado a partir da linha de comando (CLI)

Por que preciso do SCA?
As organizações precisam entregar resultados diferenciadores e agir rapidamente. A adoção de código aberto reduz o tempo de desenvolvimento de aplicativos, mas introduz dependências externas em bibliotecas de código com muitas incógnitas. O SCA permite a visibilidade desses componentes para gerenciar esse risco.

Funções principais As ferramentas SCA fornecem:

  • Identificando componentes de código aberto
  • Verificação de componentes em busca de vulnerabilidades
  • Conformidade e gerenciamento de licenças para OSS
  • Governança de OSS e aplicação de políticas
  • Recursos de relatórios e SBOM
  • Exemplos da vida real

Log4j e os eventos Solarwinds são ótimos exemplos das implicações negativas dos riscos da cadeia de suprimentos que não são verificados.

Principais drivers de adoção:

  • Equipes de Desenvolvimento
  • Adoção de microsserviços, DevOps e entrega rápida de software.
  • Equipes de política e segurança

Os principais motivadores para a adoção do SCA são requisitos para lista de materiais de software (SBOM) e governança de OSS aprimorada.

A recente Ordem Executiva dos EUA e a Estratégia de Segurança Cibernética do Reino Unido aumentam a pressão para que os fornecedores mitiguem os “riscos sistemáticos da cadeia de suprimentos de software” e a urgência para garantir que as bibliotecas de código aberto usadas sejam seguras.

Conformidade regulatória
Ordem Executiva dos EUA
Em maio de 2021, o governo Biden lançou uma Ordem Executiva sobre Segurança Cibernética que descreve novos requisitos de segurança para fornecedores que vendem software para o governo dos EUA. Esses requisitos incluem testes de segurança no processo de desenvolvimento e uma lista de materiais para as bibliotecas de código aberto em uso, para que as vulnerabilidades conhecidas sejam divulgadas e possam ser rastreadas no futuro.

FEDRAMP
Atualmente, a Veracode SCA é o único fornecedor SCA autorizado pela FEDRAMP, o que significa que a Veracode SCA é o único fornecedor que pode produzir um E.O. SBOM aprovado e pode atender aos requisitos do FEDRAMP.

Padrões de segurança cibernética do Reino Unido
Em fevereiro de 2022, o Reino Unido lançou sua Estratégia Nacional de Segurança Cibernética (NCSS), que define os resultados desejados para 2030 e é apoiada por £ 2,6 bilhões (mais £ 37,8 milhões de fundos adicionais também estão sendo investidos para enfrentar os desafios de segurança cibernética enfrentados pelos conselhos locais). Inclui planos para uma “revisão rápida e radical da segurança cibernética do governo”, incluindo um fortalecimento significativo das próprias funções críticas do governo; uma “abordagem mais ambiciosa e proativa” para manter uma participação em tecnologia crítica (inclusive apoiando a base industrial doméstica); e planos otimistas de “agir cada vez mais em nome de todos os usuários da Internet no Reino Unido” – tanto nacional quanto internacionalmente.
Gráfico SCA

Top comments (0)