Перейти к содержанию

SCA. Список компонентов

Описание

Инструмент Software Composition Analysis (SCA) извлёк из IPA полный перечень компонентов, используемых в приложении.
Результат представляет собой SBOM-отчёт (Software Bill of Materials) — таблицу/JSON со сведениями о названии, версии, хеше и лицензии каждого артефакта.

Уровень: informational — находка не указывает на уязвимость, а служит справочной информацией для дальнейшего аудита.

Потенциальные последствия

  • Упрощённый поиск CVE. Зная точные версии библиотек, команда ИБ может автоматически коррелировать их с базами NVD/OSV и оценивать риск.
  • Лицензионная чистота. SCA-список позволяет проверить, не попадают ли в APK компоненты с GPL/LGPL или иными ограничительными лицензиями, противоречащими политике компании.
  • Контроль цепочки поставки. SBOM фиксирует, какие зависимости присутствуют в конкретном релизе — это важно для расследований инцидентов и воспроизводимости сборок.

Дополнительные рекомендации

  • Автоматически публикуйте SBOM (CycloneDX или SPDX-JSON) в артефакт-репозитории CI/CD вместе с каждой сборкой.
  • Настройте монитор CVE-оповещений: GitHub Dependabot, OSS-Index, osv.dev — чтобы получать алерты при появлении уязвимостей в используемых версиях.

Ссылки

  1. OWASP — Software Composition Analysis
  2. CycloneDX — SBOM Standard
  3. SPDX — Software Package Data Exchange
  4. OSV.dev — Open Source Vulnerabilities
  5. Google — Improving Software Supply-Chain Security with SBOMs
К началу