소프트웨어 구성 분석(SCA)

HCL AppScan은 컨테이너를 실행하지 않고도 SCA(Software Composition Analysis) 기술로 Docker 컨테이너(또는 컨테이너 이미지)의 모든 내용을 스캔하는 혁신적인 컨테이너 스캔 솔루션을 개발했습니다.

HCL AppScan은 개선된 소스 코드 스캔을 위해 SCA 도구에 사용되는 오픈 소스 및 타사 패키지의 독점 데이터베이스를 구축했습니다. SCA는 소프트웨어 내 패키지를 찾아 분석하고, 파일 해시, 바이너리 등 여러 출처의 정보를 포함한 데이터베이스와 비교합니다.

데이터베이스는 다양한 소스에서 정보를 집계하여 자동화된 프로세스에서 새로운 취약성을 지속적으로 모니터링하여 정보를 매일 최신 상태로 유지합니다. 출처에는 가장 인기 있는 보안 취약성 데이터베이스(NVD, Github advisory, Microsoft MSRC)와 다양한 덜 알려진 보안 권고 및 오픈 소스 프로젝트 문제 추적 프로그램이 포함됩니다.

HCL AppScan SCA는 애플리케이션 개발 수명주기의 여러 지점에 통합할 수 있습니다. 개발자는 IDE(Integrated Development Environment)에서 직접 프로젝트에 통합된 오픈 소스 패키지를 평가할 수 있습니다.

보안 및 릴리스 관리자는 CLI 및 GUI 도구를 사용하여 특정 폴더나 컨테이너/이미지에 있는 모든 구성 요소를 빠르게 평가하여 오픈 소스 패키지를 식별할 수 있습니다.

광범위한 플러그인을 사용하여 파이프라인의 다른 지점에서 통합할 수 있으며, HCL AppScan의 REST API는 필요한 추가 통합/자동화를 정의하는 데 도움이 됩니다.