SCA (Dépendances Open Source)

Le SCA (Software Composition Analysis) permet d'identifier les composants open source utilisés dans une application, de détecter les vulnérabilités connues (via des bases comme CVE), et de gérer les licences. Les applications modernes dépendent massivement de bibliothèques tierces, qui peuvent introduire des failles de sécurité ou des problèmes de conformité. Le SCA scanne les fichiers de dépendances (package.json, requirements.txt, pom.xml, etc.), les images Docker, ou les binaires pour construire un inventaire complet et évaluer les risques. Il permet aussi de suivre l'évolution des vulnérabilités, de prioriser les mises à jour, et de générer des rapports de conformité. Le SCA est essentiel dans une démarche DevSecOps pour sécuriser la chaîne d'approvisionnement logicielle et répondre aux exigences de sécurité des applications.