软件构成分析 (SCA) 检查清单

软件构成分析 (SCA) 检查清单：开发者友好的 SCA 解决方案的 6 大关键标准

开源软件 (OSS) 作为云原生应用开发的关键组成部分，虽然能提升开发效率，但也带来了漏洞和许可证合规性风险。软件构成分析 (SCA) 通过漏洞扫描和许可证合规性检查来管理这些风险，但并非所有 SCA 提供商都能同等有效。以下是评估 SCA 提供商时应关注的六个关键标准：

1. 深度可信的漏洞扫描

漏洞扫描的核心在于识别代码库中的所有开源包，并与漏洞数据库交叉比对。关键在于扫描程序能否识别所有依赖包（包括传递依赖项），以及漏洞数据库的完整性。理想的 SCA 解决方案应：

• 基于受信任的最新来源（如 NVD）进行漏洞扫描。
• 保持自身研究能力，通过丰富和缩小漏洞延迟差距提供额外覆盖。
• 实现无限扫描，确保所有直接和传递包都被检测。

2. 情境感知和开发人员优先的方法

传统 SCA 方法在开发生命周期中被动揭露风险，导致漏洞警报疲劳和开发人员与安全团队之间的摩擦。推荐的 SCA 解决方案应：

• 在开发人员的 IDE 和 VCS 中显示 SCA 发现结果，以便在早期解决问题。
• 将 SCA 检查嵌入 CI/CD 流程，作为最后一道防线。
• 整合 IaC 和开源包扫描工具，减少覆盖差距并确定结果优先级。

3. 深度精细的版本碰撞修复

修复漏洞的关键在于将软件包更新到安全版本，但更新过程可能引入破坏性更改。理想的 SCA 解决方案应：

• 自动创建拉取请求，将依赖项提升到安全版本。
• 提供选择最小安全版本的精细控制，降低风险。
• 识别并修复传递依赖项中的漏洞，实现完整修复。

4. 许可证合规性

企业需遵守开源许可证政策，避免无意的违规。推荐的 SCA 解决方案应：

• 在开发生命周期早期显示许可证违规反馈。
• 为常见许可证类型提供默认策略（如“顽固”严重程度）。
• 利用可自定义执行规则的工具，阻止不合规软件包的集成或部署。

5. 统一的软件材料清单 (SBOM) 生成

SBOM 是了解云原生应用组件库存和状态的关键。理想的 SCA 解决方案应：

• 生成多种主要格式的 SBOM（如 CycloneDX 或 CSV）。
• 包含所有 IaC 资源、开源包和容器映像。
• 包括已知许可证、漏洞和错误配置结果及其严重性数据。

6. 云原生应用保护平台 (CNAPP) 的一部分

完整的云原生应用保护需要跨开发生命周期的漏洞和错误配置扫描。推荐的 SCA 解决方案应：

• 作为单一 CNAPP 解决方案的一部分，整合工具并减少覆盖差距。
• 在整个开发生命周期中监控和预防漏洞，提供从代码到云的覆盖。
• 采用情境感知方法，减少误报、确定优先级并确保代码安全。