O que é SCA?
O Veracode Software Composition Analysis (SCA) monitora continuamente o software e seu ecossistema para automatizar a localização e correção de vulnerabilidades de código aberto e riscos de conformidade de licença.
Os recursos de aprendizado de máquina e correção automática do Veracode SCA prescrevem correções inteligentes otimizadas para minimizar a interrupção da produção, levando a uma maior precisão e taxas de correção.
Existem duas maneiras pelas quais o SCA pode ser utilizado:
- Upload de binários (também conhecido como Upload & Scan) – melhor se já usam o SAST
- Baseado em agente – melhor para CI/CD e automação de pipeline, executado a partir da linha de comando (CLI)
Por que preciso do SCA?
As organizações precisam entregar resultados diferenciadores e agir rapidamente. A adoção de código aberto reduz o tempo de desenvolvimento de aplicativos, mas introduz dependências externas em bibliotecas de código com muitas incógnitas. O SCA permite a visibilidade desses componentes para gerenciar esse risco.
Funções principais As ferramentas SCA fornecem:
- Identificando componentes de código aberto
- Verificação de componentes em busca de vulnerabilidades
- Conformidade e gerenciamento de licenças para OSS
- Governança de OSS e aplicação de políticas
- Recursos de relatórios e SBOM
- Exemplos da vida real
Log4j e os eventos Solarwinds são ótimos exemplos das implicações negativas dos riscos da cadeia de suprimentos que não são verificados.
Principais drivers de adoção:
- Equipes de Desenvolvimento
- Adoção de microsserviços, DevOps e entrega rápida de software.
- Equipes de política e segurança
Os principais motivadores para a adoção do SCA são requisitos para lista de materiais de software (SBOM) e governança de OSS aprimorada.
A recente Ordem Executiva dos EUA e a Estratégia de Segurança Cibernética do Reino Unido aumentam a pressão para que os fornecedores mitiguem os “riscos sistemáticos da cadeia de suprimentos de software” e a urgência para garantir que as bibliotecas de código aberto usadas sejam seguras.
Conformidade regulatória
Ordem Executiva dos EUA
Em maio de 2021, o governo Biden lançou uma Ordem Executiva sobre Segurança Cibernética que descreve novos requisitos de segurança para fornecedores que vendem software para o governo dos EUA. Esses requisitos incluem testes de segurança no processo de desenvolvimento e uma lista de materiais para as bibliotecas de código aberto em uso, para que as vulnerabilidades conhecidas sejam divulgadas e possam ser rastreadas no futuro.
FEDRAMP
Atualmente, a Veracode SCA é o único fornecedor SCA autorizado pela FEDRAMP, o que significa que a Veracode SCA é o único fornecedor que pode produzir um E.O. SBOM aprovado e pode atender aos requisitos do FEDRAMP.
Padrões de segurança cibernética do Reino Unido
Em fevereiro de 2022, o Reino Unido lançou sua Estratégia Nacional de Segurança Cibernética (NCSS), que define os resultados desejados para 2030 e é apoiada por £ 2,6 bilhões (mais £ 37,8 milhões de fundos adicionais também estão sendo investidos para enfrentar os desafios de segurança cibernética enfrentados pelos conselhos locais). Inclui planos para uma “revisão rápida e radical da segurança cibernética do governo”, incluindo um fortalecimento significativo das próprias funções críticas do governo; uma “abordagem mais ambiciosa e proativa” para manter uma participação em tecnologia crítica (inclusive apoiando a base industrial doméstica); e planos otimistas de “agir cada vez mais em nome de todos os usuários da Internet no Reino Unido” – tanto nacional quanto internacionalmente.
Top comments (0)