SCA (Software Composition Analysis)

Software Composition Analysis (SCA) ist ein Verfahren zur automatischen Identifizierung und Bewertung von Open-Source- und Drittbibliotheken, die in einem Softwareprojekt verwendet werden, einschließlich ihrer bekannten Sicherheitslücken (CVEs) und Lizenzkonflikte. SCA-Tools erzeugen eine Software Bill of Materials (SBOM) und gleichen die Komponenten kontinuierlich mit Schwachstellendatenbanken (NVD, OSV) ab. In IT-Ausschreibungen für Software-Entwicklungsdienstleistungen und Software-Produkte sind SCA als Pflichtbestandteil des Secure SDLC sowie der Nachweis eines aktuellen SBOM als Liefergegenstand zu fordern, insbesondere für Open-Source-intensive Projekte.