Перейти к содержанию

SCA. Список компонентов

Описание

Инструмент Software Composition Analysis (SCA) извлёк из APK полный перечень компонентов, используемых в приложении: Java/Kotlin-библиотеки, нативные .so, а также встроенные фреймворки (Play Services, Firebase и т. д.).
Результат представляет собой SBOM-отчёт (Software Bill of Materials) — таблицу/JSON со сведениями о названии, версии, хеше и лицензии каждого артефакта.

Уровень: informational — находка не указывает на уязвимость, а служит справочной информацией для дальнейшего аудита.

Дополнительные рекомендации

  • Автоматически публикуйте SBOM (CycloneDX) в артефакт-репозитории CI/CD вместе с каждой сборкой.
  • Настройте монитор CVE-оповещений: GitHub Dependabot, OSS-Index, osv.dev — чтобы получать алерты при появлении уязвимостей в используемых версиях.
  • Минимизируйте состав зависимостей: удаляйте неиспользуемые библиотеки (./gradlew dependencyUpdates) и активируйте R8/ProGuard shrinkResources true.
  • Фиксируйте версии (versionCatalogs / dependencies.lock) — это повысит стабильность сборки и облегчит аудит.

Ссылки

  1. OWASP — Software Composition Analysis
  2. CycloneDX — SBOM Standard
  3. SPDX — Software Package Data Exchange
  4. OSV.dev — Open Source Vulnerabilities
  5. Google — Improving Software Supply-Chain Security with SBOMs
К началу