阿摩線上測驗
24. 軟體組成分析(Software Composition Analysis, SCA)主要是針對程式設計的哪一個部分進行分析?
(A) 所開發的原始碼是否有設計缺陷
(B) 編譯後的執行檔是否有錯誤配置
(C) 針對二進位檔進行 Security Hardening 檢查
(D) 軟體元件是否有已知漏洞
答案:登入後查看
統計: A(229), B(74), C(94), D(559), E(0) #3351126
統計: A(229), B(74), C(94), D(559), E(0) #3351126
詳解 (共 2 筆)
cherry
#7376484
題目解析:
軟體組成分析 (Software Composition Analysis, SCA) 是一種資安檢測技術,其核心目的在於識別與管理軟體專案中所使用的「第三方元件、開源套件 (Open Source Components) 及依賴項 (Dependencies)」。
• (A) 所開發的原始碼是否有設計缺陷:這是 SAST (靜態應用程式安全測試) 的主要工作。SAST 是針對團隊「自行編寫的原始碼」進行掃描,尋找語法、邏輯或設計上的安全漏洞(如 SQL 注入、跨網站指令碼等)。
• (B) 編譯後的執行檔是否有錯誤配置:這通常屬於 DAST (動態應用程式安全測試) 或環境安全配置檢查的範疇。DAST 是在軟體執行狀態下,從外部模擬攻擊來測試系統反應與配置錯誤。
• (C) 針對二進位檔進行 Security Hardening 檢查:這屬於二進位碼分析、逆向工程或系統加固 (Hardening) 驗證的範疇,並非 SCA 的主要核心定義。
• (D) 軟體元件是否有已知漏洞(正確答案):現代軟體開發大量依賴開源套件。SCA 工具會掃描專案的依賴清單(例如 package.json, pom.xml, requirements.txt 等),比對已知漏洞資料庫(如 CVE、NVD),找出這些第三方元件是否包含已公開的資安漏洞、版本是否過舊,同時也能檢查開源授權條款 (License) 的合規性風險。
總結記憶點:
• SAST:檢查自己寫的程式碼漏洞(白箱測試)。
• DAST:檢查運行中的系統漏洞(黑箱測試)。
• SCA:檢查引用別人的套件/元件是否有已知漏洞(第三方風險管理)。
0
0