
Analisis komposisi perangkat lunak tradisional
Cara kerja alat SCA sangat sederhana. Mereka biasanya berinteraksi dengan manajer paket perangkat lunak, yang digunakan oleh lingkungan pengembangan saat ini untuk mengimpor komponen. Mereka biasanya memeriksa semua paket perangkat lunak yang diimpor dan membandingkan informasi tersebut dengan database kerentanan yang ada. Misalnya, mereka dapat mengidentifikasi bahwa manajer paket Anda mengimpor jQuery 2.2.4, dan kemudian menemukan CVE-2015-9251, yang menyatakan bahwa versi jQuery sebelum 3.0.0 rentan terhadap skrip lintas situs (XSS).
Analisis komposisi perangkat lunak dinamis
Pendekatan dinamis untuk SCA adalah konsep baru yang diperkenalkan oleh Acunetix, yang melibatkan penggabungan kemampuan IAST dan SCA bersama-sama. AcuSensor, modul Acunetix IAST, memiliki akses ke informasi tentang paket perangkat lunak yang diinstal. Oleh karena itu, dapat segera mengidentifikasi semua komponen yang Anda gunakan untuk aplikasi web Anda.
Setelah AcuSensor mengidentifikasi komponen, ia akan memeriksa apakah mereka aman menggunakan NVD (basis data kerentanan nasional) stAndar industri yang diperluas oleh tim ahli kami untuk menyertakan kerentanan lain yang diketahui. Akibatnya, pemindaian kerentanan Anda mencakup informasi tidak hanya tentang kerentanan tetapi juga tentang komponen yang rentan.
Apa kelebihan menggunanakan SCA dinamis?
Umumnya SCA tidak akan membantu Anda menemukan lebih banyak kerentananan yang ada tetapi akan melindungi Anda dari kerentanan dimasa mendatang. Dengan SCA, Anda dapat menemukan komponen yang rentan meskipun Anda belum menggunakan fungsinya. Dengan cara ini, Anda dapat menghindari masalah bahkan sebelum itu terjadi dan memutakhirkan komponen yg rentan ke versi yang aman bahkan sebelum Anda mengenali kerentanan tersebut. Hal ini bisa menghemat waktu Anda dan menghilangkan resiko mengekspos fungsi yang rentan di lingkungan produksi.
Manfaat terbesar menggunakan Acunetix SCA adalah Anda tidak memerlukan perangkat lunak tambahan, integrasi tambahan, dan tim keamanan Anda tidak perlu menjalankan pemindaian ekstra atau mendapatkan laporan tambahan apa pun. Informasi SCA disertakan dalam Acunetix+AcuSensor regular saat Anda memindai. Dengan ini Anda bisa menghemat waktu dan uang perusahaan karena bisa menggunakan alat SCA sebagai bagaian dari DAST + IAST.
0 Comment