SCA (Software Composition Analysis)

Les SCA, ou Analyse de Composition de Logiciels, sont des outils qui permettent d'analyser les composants logiciels tiers utilisés dans un projet pour détecter les vulnérabilités de sécurité et les problèmes de licence. Ces outils sont essentiels pour gérer les risques associés à l'utilisation de composants open source et tiers. Ils peuvent identifier les bibliothèques obsolètes, les versions avec des failles de sécurité connues, et aider à maintenir la conformité aux licences. Elles ont pour rôles :

• Identification des composants logiciels : elle ****implique la collecte et la documentation des composants logiciels utilisés dans les applications, y compris les bibliothèques tierces, les frameworks, les modules, etc.
• Gestion des référentiels de composants : Elle ****consiste à maintenir et à mettre à jour les référentiels de composants logiciels, qui peuvent inclure des bases de données de vulnérabilités connues, des méta informations sur les composants (comme les licences) et d'autres informations pertinentes.
• Analyse et évaluation des vulnérabilités : Elle implique l'utilisation d'outils d'analyse des compositions logicielles pour identifier les vulnérabilités connues dans les composants ****utilisés dans les applications.
• Coordination des correctifs et des mises à jour : chargée de coordonner les efforts pour remédier aux vulnérabilités identifiées. Cela peut impliquer la communication avec les fournisseurs de logiciels tiers pour obtenir des correctifs, la planification et la mise en œuvre des mises à jour des composants, ainsi que la surveillance de l'application de correctifs pour s'assurer que les vulnérabilités sont correctement atténuées.
• Formation et sensibilisation : Elle consiste à sensibiliser les développeurs, les responsables de la sécurité et d'autres parties prenantes aux meilleures pratiques en matière de gestion des composants logiciels et à l'importance de l'analyse des compositions logicielles pour la sécurité des applications. Cela peut inclure la formation sur l'utilisation d'outils SCA, ainsi que des sessions de sensibilisation sur les risques associés à l'utilisation de composants non sécurisés

Avantages d’utilisation des SCA

• Identification proactive des vulnérabilités
• Réduction du risque de sécurité
• Conformité réglementaire
• Amélioration de la qualité du code
• Économies de temps et d'efforts
• Gestion efficace des correctifs

Exemple de SCA gratuit:

• OWASP Dependency-Check

  C’est un outil open source qui scanne les dépendances des projets logiciels pour identifier les vulnérabilités connues dans les bibliothèques tierces. Il prend en charge de nombreux langages de programmation et formats de projet.

• Retire.js

  C’est un outil JavaScript open source qui détecte les bibliothèques JavaScript obsolètes et les vulnérabilités connues dans les applications web

• Sonatype OSS Index

  C’est un service gratuit qui fournit une base de données de vulnérabilités pour les composants open source. Bien qu'il ne soit pas un outil de balayage autonome, il peut être intégré à d'autres outils SCA pour enrichir les résultats d'analyse.

• Snyk Open Source

  Elle propose une version gratuite de son outil d'analyse des compositions logicielles qui permet aux développeurs de détecter les vulnérabilités dans les dépendances de leurs projets open source. Il offre également des intégrations avec des outils de gestion des versions comme GitHub et GitLab

• Node Security Platform

  Elle fournit une base de données de vulnérabilités pour les packages npm. Bien qu'il ne soit pas entièrement gratuit, il offre une version gratuite limitée qui permet d'accéder aux vulnérabilités les plus critiques