SCA (Software Composition Analysis)
La SCA inventorie les dépendances open source d’une application et les confronte aux vulnérabilités connues et aux risques de chaîne d’approvisionnement.
La Software Composition Analysis, ou SCA, s’intéresse à tout le code que vous n’avez pas écrit. Une application moderne est composée en grande majorité de dépendances open source, directes et transitives ; l’outil de SCA les inventorie, les confronte aux bases de vulnérabilités connues, et signale les composants à mettre à jour. Les plus complets vérifient aussi les licences et les signaux de compromission d’un paquet.
L’enjeu dépasse la simple CVE oubliée. Les attaquants ont compris qu’il est plus rentable de piéger une dépendance populaire que d’attaquer chaque application une à une : paquets malveillants publiés sous des noms proches de projets légitimes, comptes de mainteneurs compromis, code hostile glissé dans une mise à jour. La SCA est la première ligne de défense contre ces attaques supply chain, et la SBOM en est le prolongement documentaire.
Notre module de SCA AI-native va au-delà de l’inventaire : il évalue si votre code appelle réellement la fonction vulnérable, pour que vous corrigiez d’abord ce qui vous expose vraiment.