EN ID TH
Source Code Security → SCA

SCA, Software Composition Analysis

Identifikasi dan kelola risiko dalam dependency open-source dan pihak ketiga Anda, kerentanan yang diketahui, kepatuhan lisensi, risiko transitif.

Aplikasi modern yang tipikal 80–90% terdiri dari kode pihak ketiga. SCA adalah satu-satunya cara praktis untuk menjaga permukaan tersebut tetap terlihat. SCA menghasilkan inventaris komponen, memetakan kerentanan yang diketahui ke komponen tersebut, dan men-triage mana yang sebenarnya dapat dieksploitasi dalam aplikasi spesifik Anda, perbedaan antara output scanner 4.000 temuan dan daftar remediasi terprioritisasi yang siap dijalankan oleh tim engineering.

Di luar pelacakan kerentanan, SCA membawa nilai kepatuhan lisensi. Banyak lisensi open-source membawa kewajiban legal (atribusi, source disclosure, pembatasan downstream) yang sering terlewat saat komponen masuk lewat dependency transitif. SCA mengungkap kewajiban tersebut sebelum menjadi risiko legal.

SCA biasanya adalah layanan source-code yang paling mudah diintegrasikan secara berkelanjutan, SCA berjalan terhadap build manifest dan bukan codebase, dan tooling modern dapat diintegrasikan ke sebagian besar pipeline CI/CD tanpa banyak hambatan.

Mengapa Hal Ini Penting

Risiko yang dihadapi organisasi Anda.

Risiko supply-chain kini menjadi masalah semua orang

Log4Shell, XZ Utils, polyfill.io, beberapa tahun terakhir telah memperjelas bahwa satu komponen open-source dapat menjadi insiden seluruh organisasi dalam semalam. SCA adalah inventaris yang Anda butuhkan untuk sekadar mengetahui apakah Anda terdampak.

Kepatuhan lisensi memiliki konsekuensi

Kewajiban GPL/AGPL telah masuk ranah litigasi. Distribusi dengan lisensi yang tidak kompatibel dapat menimbulkan biaya komersial dan hukum yang material, dan biasanya tidak terlihat oleh tim engineering sampai SCA dijalankan.

Ruang Lingkup & Cakupan

Yang kami uji.

Analisis Komponen

  • Deteksi kerentanan yang diketahui (CVE, GHSA)
  • Scanning komponen di seluruh dependency langsung dan transitif
  • Pemetaan dependency dan visualisasi supply chain
  • Inventaris container dan base image

Kepatuhan & Monitoring

  • Analisis kepatuhan dan kewajiban lisensi
  • Penilaian risiko keamanan dan triage exploitability
  • Panduan mitigasi dan remediasi
  • Monitoring kontinu via CI/CD
Model Engagement

Jalur kerja terstruktur dan berbasis intelijen pada setiap engagement.

Setiap engagement mengikuti alur disiplin yang sama melalui platform Velocity, sehingga kualitas, ketertelusuran, dan pelaporan konsisten di seluruh tim.

Penetapan Ruang Lingkup

Tetapkan aset, lingkungan, Rules of Engagement, dan kriteria penerimaan bersama para pemangku kepentingan teknis dan keamanan.

Pelaksanaan

Pengujian manual dan berbantuan tools oleh konsultan tersertifikasi CREST, dengan bukti yang ditangkap pada setiap langkah.

Validasi

Setiap temuan direproduksi, dinilai risikonya menggunakan CVSS, dan dikonfirmasi oleh konsultan kedua sebelum dilaporkan.

Pelaporan

Laporan yang ditandatangani secara kriptografis, dengan ketertelusuran ke setiap Test Case, peringkat tingkat keparahan, langkah reproduksi, dan rekomendasi remediasi.

Debrief & Retest

Pemaparan temuan kepada pemangku kepentingan, dukungan prioritisasi, dan siklus retest atas temuan yang telah diremediasi.

Standar & Kerangka Kerja

Dipetakan ke baseline yang diakui industri.

SLSA
NIST SSDF
ISO 27001:2022
PCI DSS v4.0
SBOM (CycloneDX / SPDX)
Pertanyaan yang Sering Diajukan

Pertanyaan umum dari calon klien.

Apakah SCA dapat menghasilkan SBOM? +

Ya, Software Bill of Materials dalam format CycloneDX atau SPDX. Semakin diwajibkan oleh pelanggan perusahaan dan regulator sebagai deliverable untuk jaminan supply-chain software.

Apakah Anda memeriksa container image? +

Ya. Pengujian container biasanya menggabungkan SCA pada dependency aplikasi dengan SBOM container-image dan analisis kerentanan base image.

Bagaimana Anda menangani false positive? +

Output mentah SCA menandai setiap CVE yang diketahui di setiap komponen, terlepas dari apakah code path yang rentan sebenarnya dijangkau. Triage konsultan menyaringnya menjadi temuan yang dapat dieksploitasi, satu-satunya yang seharusnya mengonsumsi waktu engineering.

Uji Pertahanan Anda dengan Pendekatan Adversarial Ofensif

Konsultasikan kebutuhan Pengujian Penetrasi berikutnya dengan konsultan tersertifikasi CREST kami.

Konsultasi dengan Pakar