Software Composition Analysis (SCA)
Analyse der in Anwendungen verwendeten Open-Source-Bibliotheken und -Komponenten und Prüfung auf bekannte Sicherheitsschwachstellen.
Die Software Composition Analysis (SCA) identifiziert Schwachstellen, die durch Open-Source-Softwarekomponenten entstehen. Das HCL AppScan SCA-Tool kann an zahlreichen Punkten im Lebenszyklus der Anwendung integriert werden und ermöglicht es Sicherheits-, Release-Managern und anderen, schnell alle Komponenten in einem bestimmten Ordner oder Container/Image zu bewerten, um Pakete mit bekannten Schwachstellen oder problematischen Lizenzvereinbarungen zu identifizieren.
Kritische Schwachstellen lassen sich schnell finden, einstufen und beheben:
- Cloud-Sicherheit mit Container-Scanning
- Open-Source-Meta-Scoring in der Developer Experience
- Kontinuierliche Aktualisierung der Schwachstellendatenbank
- SCA- und SAST-Scans können zusammen in einer einzigen Ausführung durchgeführt werden
Cloud Security mit Container-Scanning
Cloud Security mit Container-Scanning
HCL AppScan hat eine innovative Lösung zum Scannen von Containern entwickelt, die unsere SCA-Technologie (Software Composition Analysis) nutzt, um den gesamten Inhalt eines Docker-Containers (oder Container-Images) zu scannen, ohne den Container ausführen zu müssen.
Software Supply Chain Security
Software Supply Chain Security
Die Verbesserung der Sicherheit der Software-Lieferkette ist entscheidend für den Schutz Ihres Unternehmens. HCL AppScan SCA erkennt Open-Source-Pakete, Versionen, Lizenzen und Schwachstellen und stellt ein Inventar all dieser Daten für umfassende Berichte zur Verfügung.
Source Code Scanning
Source Code Scanning
HCL AppScan hat eine proprietäre Datenbank mit Open-Source- und Drittanbieter-Paketen aufgebaut, die unser SCA-Tool zum verbesserten Scannen von Quellcode verwendet. SCA lokalisiert und analysiert die Pakete in Ihrer Software und vergleicht sie mit der Datenbank mit Informationen aus verschiedenen Quellen, einschließlich Datei-Hashes, Binärdateien und mehr.
Die Datenbank sammelt Informationen aus einer Vielzahl von Quellen und sucht in einem automatisierten Prozess ständig nach neuen Sicherheitslücken, so dass unsere Informationen täglich auf dem neuesten Stand sind. Zu den Quellen gehören die bekanntesten Datenbanken für Sicherheitslücken (NVD, Github Advisory, Microsoft MSRC) sowie eine Vielzahl weniger bekannter Sicherheitshinweise und Problem-Tracker für Open-Source-Projekte.
Eine Komplettlösung mit SCA und SAST
Eine Komplettlösung mit SCA und SAST
HCL AppScan SCA kann automatisch zusammen mit der statischen Analyse (HCL AppScan SAST) ausgeführt werden, so dass Sie sowohl Ihren eigenen Code als auch die Komponenten von Drittanbietern gleichzeitig auf Schwachstellen prüfen können.
SCA während des gesamten SDLC
SCA während des gesamten SDLC
HCL AppScan SCA kann an zahlreichen Stellen im Entwicklungslebenszyklus Ihrer Anwendung integriert werden. Ihre Entwickler können die in ihre Projekte eingebundenen Open-Source-Pakete direkt aus der IDE (Integrated Development Environment) heraus bewerten.
Sicherheits- und Release-Manager können die CLI und ein GUI-Tool nutzen, um alle Komponenten in einem bestimmten Ordner oder Container/Image schnell zu evaluieren und Open-Source-Pakete zu identifizieren.
Umfangreiche Plugins können für die Integration an anderen Stellen in der Pipeline verwendet werden, und die REST-API von HCL AppScan hilft bei der Definition jeder zusätzlichen Integration/Automatisierung, die erforderlich ist.
Verfügbare Ressourcen
HCL AppScan bietet zusätzliche Cloud-Sicherheit mit neuen Container-Scan-Funktionen
