DEV Community

Cover image for O que é SCA?
Ivo Dias for M3Corp

Posted on • Edited on

2

O que é SCA?

O que é SCA?
O Veracode Software Composition Analysis (SCA) monitora continuamente o software e seu ecossistema para automatizar a localização e correção de vulnerabilidades de código aberto e riscos de conformidade de licença.

Os recursos de aprendizado de máquina e correção automática do Veracode SCA prescrevem correções inteligentes otimizadas para minimizar a interrupção da produção, levando a uma maior precisão e taxas de correção.

Existem duas maneiras pelas quais o SCA pode ser utilizado:

  1. Upload de binários (também conhecido como Upload & Scan) – melhor se já usam o SAST
  2. Baseado em agente – melhor para CI/CD e automação de pipeline, executado a partir da linha de comando (CLI)

Por que preciso do SCA?
As organizações precisam entregar resultados diferenciadores e agir rapidamente. A adoção de código aberto reduz o tempo de desenvolvimento de aplicativos, mas introduz dependências externas em bibliotecas de código com muitas incógnitas. O SCA permite a visibilidade desses componentes para gerenciar esse risco.

Funções principais As ferramentas SCA fornecem:

  • Identificando componentes de código aberto
  • Verificação de componentes em busca de vulnerabilidades
  • Conformidade e gerenciamento de licenças para OSS
  • Governança de OSS e aplicação de políticas
  • Recursos de relatórios e SBOM
  • Exemplos da vida real

Log4j e os eventos Solarwinds são ótimos exemplos das implicações negativas dos riscos da cadeia de suprimentos que não são verificados.

Principais drivers de adoção:

  • Equipes de Desenvolvimento
  • Adoção de microsserviços, DevOps e entrega rápida de software.
  • Equipes de política e segurança

Os principais motivadores para a adoção do SCA são requisitos para lista de materiais de software (SBOM) e governança de OSS aprimorada.

A recente Ordem Executiva dos EUA e a Estratégia de Segurança Cibernética do Reino Unido aumentam a pressão para que os fornecedores mitiguem os “riscos sistemáticos da cadeia de suprimentos de software” e a urgência para garantir que as bibliotecas de código aberto usadas sejam seguras.

Conformidade regulatória
Ordem Executiva dos EUA
Em maio de 2021, o governo Biden lançou uma Ordem Executiva sobre Segurança Cibernética que descreve novos requisitos de segurança para fornecedores que vendem software para o governo dos EUA. Esses requisitos incluem testes de segurança no processo de desenvolvimento e uma lista de materiais para as bibliotecas de código aberto em uso, para que as vulnerabilidades conhecidas sejam divulgadas e possam ser rastreadas no futuro.

FEDRAMP
Atualmente, a Veracode SCA é o único fornecedor SCA autorizado pela FEDRAMP, o que significa que a Veracode SCA é o único fornecedor que pode produzir um E.O. SBOM aprovado e pode atender aos requisitos do FEDRAMP.

Padrões de segurança cibernética do Reino Unido
Em fevereiro de 2022, o Reino Unido lançou sua Estratégia Nacional de Segurança Cibernética (NCSS), que define os resultados desejados para 2030 e é apoiada por £ 2,6 bilhões (mais £ 37,8 milhões de fundos adicionais também estão sendo investidos para enfrentar os desafios de segurança cibernética enfrentados pelos conselhos locais). Inclui planos para uma “revisão rápida e radical da segurança cibernética do governo”, incluindo um fortalecimento significativo das próprias funções críticas do governo; uma “abordagem mais ambiciosa e proativa” para manter uma participação em tecnologia crítica (inclusive apoiando a base industrial doméstica); e planos otimistas de “agir cada vez mais em nome de todos os usuários da Internet no Reino Unido” – tanto nacional quanto internacionalmente.
Gráfico SCA

Sentry image

Hands-on debugging session: instrument, monitor, and fix

Join Lazar for a hands-on session where you’ll build it, break it, debug it, and fix it. You’ll set up Sentry, track errors, use Session Replay and Tracing, and leverage some good ol’ AI to find and fix issues fast.

RSVP here →

Top comments (0)

A Workflow Copilot. Tailored to You.

Pieces.app image

Our desktop app, with its intelligent copilot, streamlines coding by generating snippets, extracting code from screenshots, and accelerating problem-solving.

Read the docs

👋 Kindness is contagious

Please leave a ❤️ or a friendly comment on this post if you found it helpful!

Okay