ITCS

软件组成分析（SCA）为软件开发人员及其工作所在的组织提供了用于构建应用程序的开源组件清单的可见性。

在开发组织和应用程序安全团队在跟踪开源组件（包括其代码库中的直接和传递依赖项）遇到麻烦之后，SCA工具就应运而生。 依靠手动流程和电子表格的开发人员发现这种做法效率低下，容易出错且不可扩展。

软件组成分析工具如何工作

SCA工具可自动执行对开发环境中使用的开源代码进行识别和分类，识别潜在的安全问题，许可问题以及开源组件及其相关性的质量的过程。

在IT中心站上查看Sonatype Nexus Lifecycle的用户讨论了选择SCA解决方案的最佳实践。

SCA和连续监控

为了有效地工作，SCA工具必须连续监视代码，因为使用开放源代码的现代开发方法本质上是连续的。

一个安全团队负责人喜欢此功能，他说：“在我们公司，我们一直在构建新的应用程序，其中一些应用程序比其他应用程序更积极地开发。 我们发现，在未被积极开发的应用程序中，我们存在许多漏洞，需要修复。

[ Insider Pro产品评论 ]

这就是为什么在选择SCA解决方案时，可见性是一个重要考虑因素的原因。 开发人员以及负责其工作的人员必须了解开发中使用的开源组件。

ITCS

软件组成分析（SCA）为软件开发人员及其工作所在的组织提供了用于构建应用程序的开源组件清单的可见性。

在开发组织和应用程序安全团队在跟踪开源组件（包括其代码库中的直接和传递依赖项）遇到麻烦之后，SCA工具就应运而生。 依靠手动流程和电子表格的开发人员发现这种做法效率低下，容易出错且不可扩展。

软件组成分析工具如何工作

SCA工具可自动执行对开发环境中使用的开源代码进行识别和分类，识别潜在的安全问题，许可问题以及开源组件及其相关性的质量的过程。

[相关： 14个Microsoft Teams应用程序可帮助您更智能地工作 ]

在IT中心站上查看Sonatype Nexus Lifecycle的用户讨论了选择SCA解决方案的最佳实践。

SCA和连续监控

为了有效地工作，SCA工具必须连续监视代码，因为使用开放源代码的现代开发方法本质上是连续的。

一个安全团队负责人喜欢此功能，他说：“在我们公司，我们一直在构建新的应用程序，其中一些应用程序比其他应用程序更积极地开发。 我们发现，在未被积极开发的应用程序中，我们存在许多漏洞，需要修复。

[ Insider Pro产品评论 ]

这就是为什么在选择SCA解决方案时，可见性是一个重要考虑因素的原因。 开发人员以及负责其工作的人员必须了解开发中使用的开源组件。

一家拥有10,000多名员工的金融服务公司的devsecops员工说：“这就像在黑暗中工作，突然之间您就具有可见性。如果您不能使用某些东西，则有其他选择。 那是巨大的。”

一家金融服务公司的SCA用户拥有1000多名员工，他们对此表示赞同。 “我们不再盲目地构建易受攻击的组件。 我们已经意识到了，我们正在将这种意识推给开发人员，并且我们认为我们对威胁形势看起来有了更好的了解。

他们补充说：“我们什至没有意识到的错误或漏洞，我们现在已经意识到它们，我们可以很快地进行补救。”

误报率低

误报会浪费时间并导致用户在SCA中精疲力尽。 相反，否定否定会在代码中引入安全性和许可问题。 由于这些原因，SCA解决方案需要尽可能精确。

解决方案服务的高级负责人指出了此问题的重要性：“这有助于我们避免在现场暴露关键漏洞。 它为我们节省了部署后可能进行的任何补救活动的时间，因为如果我们在应用程序完全开发和部署后发现安全问题，那么回头进行更改或重新投入周期将变得更加困难。 。”

提高开发人员的生产力和投资回报率

SCA不仅仅是保护代码。 它也应该是提高开发人员生产力的驱动力。

解决方案服务高级主管还发现：“解决问题时，由于明确列出了问题，解决方案提高了开发人员的生产力。” 他说，按数字计算，“我们将开发人员的生产力节省5％至10％。”

用户强调，SCA技术应该为自己付出代价。 一位金融服务开发人员说。 “修复开发生命周期中吸收的安全漏洞将花费大量资金。”

开源政策

SCA的实践和解决方案最终是关于对代码库的所有部分强制实施安全策略。 因此，首选的SCA解决方案是可以实施开源策略的解决方案。

金融服务devsecops员工补充说：“由于它是主动的实时数据，因此您可以立即知道应用程序的任何部分现在是否容易受到攻击。”

尽管安全策略确实需要强大，但是如果它们过于严格，则会对开发人员的生产率产生负面影响。 它们甚至可能被完全规避。 因此，如果SCA解决方案提供灵活的策略实施，则将很有用。

它[SCA]是一个新的缓解控件，可以发现新的漏洞类别。 它有助于实施安全的编码实践，当您首次推出它时可能会花费一些时间，但是过一会儿，它可能并没有那么多成本，因为更多的开发人员对此非常熟悉。”

另外，一家小型金融服务公司的用户说：“它甚至可以继承某些组件，因为在现实世界中，我们不能总是花时间去更新某些东西，因为它不向后兼容。”

“拥有这些功能使它变得更易于使用和实用。它使我们能够应用安全性，而无需采用全有或全无的方法。”

根据IT中心对Sonatype Nexus Lifecycle的评论，用户希望SCA对开发活动的可见性和意识进行连续监控。 他们还希望SCA具有来自多个来源的高质量数据，较低的误报率，提高的开发人员生产率，ROI，灵活的策略执行，通过破坏构建来实施开源策略，集成功能以及强大的供应商支持。