EN ID TH
Source Code Security → SCA

การวิเคราะห์องค์ประกอบซอฟต์แวร์ (SCA)

ระบุและบริหารจัดการความเสี่ยงใน Open Source และไลบรารีของบุคคลที่สามที่โปรแกรมต้องพึ่งพา ไม่ว่าจะเป็นช่องโหว่ที่ทราบ การปฏิบัติตามใบอนุญาต และความเสี่ยงแบบ Transitive

แอปพลิเคชันสมัยใหม่โดยทั่วไปประกอบด้วยโค้ดจากบุคคลที่สาม 80 ถึง 90% SCA คือวิธีที่ทำได้จริงในการทำให้ Attack Surface ส่วนนี้มองเห็นและจัดการได้ โดยสร้างบัญชีรายการ Component จับคู่ช่องโหว่ที่รู้จักเข้ากับ Component เหล่านั้น และคัดกรองว่ารายการใดโจมตีได้จริงในแอปพลิเคชันของคุณ ซึ่งคือความแตกต่างระหว่างผลลัพธ์ Scanner 4,000 รายการกับรายการแก้ไขที่จัดลำดับแล้วสำหรับทีม Engineering

นอกเหนือจากการติดตามช่องโหว่แล้ว SCA ยังมีประโยชน์ด้าน License Compliance อีกด้วย ไลบรารี Open Source จำนวนมากมีข้อผูกมัดทางกฎหมาย (เช่น การให้เครดิตผู้พัฒนา การเปิดเผย Source Code และข้อจำกัดในการเผยแพร่ต่อ) ซึ่งมักจะตกหล่นไปเมื่อมีการดึง Component เข้ามาใช้งานผ่าน Transitive Dependency SCA จะช่วยแสดงข้อผูกมัดเหล่านั้นให้คุณเห็นก่อนที่จะกลายเป็นความเสี่ยงทางกฎหมาย

โดยทั่วไปแล้ว SCA เป็นบริการตรวจสอบ Source Code ที่รวมเข้ากับระบบทำงานแบบต่อเนื่อง (CI/CD) ได้ง่ายที่สุด เนื่องจากระบบจะทำงานกับไฟล์ Build Manifest (เช่น package.json, pom.xml) แทนที่จะเป็นตัวโค้ดหลักทั้งหมด และเครื่องมือในปัจจุบันยังสามารถผสานเข้ากับไพป์ไลน์ CI/CD ส่วนใหญ่ได้โดยแทบไม่มีอุปสรรคเลย

ทำไมจึงสำคัญ

ความเสี่ยงที่ต้องพิจารณา

ความเสี่ยง Supply Chain กลายเป็นเรื่องของทุกองค์กร

กรณี Log4Shell, XZ Utils และ polyfill.io ในช่วงไม่กี่ปีที่ผ่านมาพิสูจน์ให้เห็นชัดเจนแล้วว่า Component แบบ Open Source เพียงชิ้นเดียวสามารถกลายเป็น Incident ระดับองค์กรได้ภายในข้ามคืน SCA คือบัญชีรายการที่คุณจำเป็นต้องมี เพื่อให้รู้ได้ตั้งแต่แรกว่าองค์กรได้รับผลกระทบหรือไม่

License Compliance มีผลผูกพันจริง

ข้อผูกมัดของไลเซนส์ประเภท GPL/AGPL เคยมีการฟ้องร้องดำเนินคดีจริงมาแล้ว การเผยแพร่ซอฟต์แวร์ที่ไลเซนส์ไม่เข้ากันอาจนำมาซึ่งต้นทุนทางธุรกิจและกฎหมายที่มีนัยสำคัญ และโดยทั่วไปทีม Engineering จะมองไม่เห็นปัญหานี้เลยจนกว่าจะได้รัน SCA

ขอบเขตและการครอบคลุม

สิ่งที่เราทดสอบ

Component analysis

  • การตรวจจับช่องโหว่ที่ทราบ (CVE, GHSA)
  • การสแกน Component ครอบคลุมทั้ง Direct และ Transitive Dependency
  • การทำแผนผัง Dependency และการแสดงภาพ Supply Chain
  • บัญชีรายการ Container และ Base Image

Compliance & monitoring

  • การวิเคราะห์การปฏิบัติตามไลเซนส์และข้อผูกมัด
  • การประเมินความเสี่ยงด้านความปลอดภัย และคัดกรองช่องโหว่ที่โจมตีได้จริง
  • คำแนะนำในการลดความเสี่ยงและแก้ไขช่องโหว่
  • การติดตามอย่างต่อเนื่องผ่าน CI/CD
รูปแบบการดำเนินงาน

แนวทางการทำงานที่มีโครงสร้างชัดเจน ขับเคลื่อนด้วยข้อมูลเชิงลึกในทุกการทดสอบ

ทุกโครงการดำเนินตามแนวทางที่มีระเบียบวินัยเดียวกันผ่านแพลตฟอร์ม Velocity เพื่อให้คุณภาพ การติดตามตรวจสอบ และการรายงานมีมาตรฐานเดียวกันในทุกทีม

การกำหนดขอบเขต

กำหนดสินทรัพย์ สภาพแวดล้อม ข้อกำหนดในการทดสอบ และเกณฑ์การยอมรับร่วมกับผู้เกี่ยวข้องด้านเทคนิคและความปลอดภัย

การดำเนินการ

การทดสอบแบบ Manual และด้วยเครื่องมือโดยที่ปรึกษาที่ได้รับการรับรอง CREST พร้อมเก็บหลักฐานในทุกขั้นตอน

การตรวจสอบความถูกต้อง

ทุกการค้นพบจะถูกทำซ้ำ ประเมินระดับความเสี่ยงด้วย CVSS และยืนยันโดยที่ปรึกษาท่านที่สองก่อนรายงานผล

การรายงาน

รายงานที่ลงนามด้วยรหัส พร้อมการอ้างอิง Test Case การจัดระดับความรุนแรง ขั้นตอนการทำซ้ำ และแนวทางแก้ไข

สรุปผลและการทดสอบซ้ำ

การประชุมสรุปผลกับผู้เกี่ยวข้อง การช่วยจัดลำดับความสำคัญ และการทดสอบซ้ำหลังการแก้ไข

มาตรฐานและกรอบการทำงาน

อ้างอิงมาตรฐานสากลที่ได้รับการยอมรับ

SLSA
NIST SSDF
ISO 27001:2022
PCI DSS v4.0
SBOM (CycloneDX / SPDX)
คำถามที่พบบ่อย

คำถามจากผู้สนใจใช้บริการ

SCA สามารถสร้าง SBOM ได้หรือไม่? +

ใช่ เราส่งมอบรายการส่วนประกอบซอฟต์แวร์ (Software Bill of Materials หรือ SBOM) ในรูปแบบ CycloneDX หรือ SPDX ซึ่งปัจจุบันลูกค้าองค์กรขนาดใหญ่และหน่วยงานกำกับดูแลเริ่มกำหนดให้ส่งมอบมากขึ้นเรื่อย ๆ เพื่อเป็นหลักประกันความปลอดภัยของ Software Supply Chain

คุณตรวจสอบ Container Image ด้วยหรือเปล่า? +

ใช่ การตรวจสอบ Container โดยทั่วไปจะผสมผสานการทำ SCA กับ Dependency ของแอปพลิเคชัน ควบคู่กับการทำ SBOM ของ Container Image และการวิเคราะห์ช่องโหว่ของ Base Image

คุณรับมือกับ False Positive อย่างไร? +

ผลลัพธ์ดิบจาก SCA จะแจ้งเตือนทุก CVE ที่รู้จักในทุก Component โดยไม่สนใจว่าโค้ดส่วนที่มีช่องโหว่นั้นมีการเรียกใช้งานจริงหรือไม่ การคัดกรองโดยที่ปรึกษาจะกรองรายการเหล่านี้จนเหลือเฉพาะช่องโหว่ที่โจมตีได้จริง ซึ่งเป็นรายการเดียวที่ควรใช้เวลาของทีมวิศวกร

ทดสอบการป้องกันของท่านกับผู้เชี่ยวชาญด้านการรักษาความปลอดภัยเชิงรุก

ปรึกษาที่ปรึกษาที่ได้รับการรับรอง CREST เกี่ยวกับการทดสอบ Penetration Testing ครั้งถัดไปของท่าน

ปรึกษาผู้เชี่ยวชาญ