SCA (Software Composition Analysis)
Définition
Analyse des dépendances tierces (bibliothèques open source) d'un projet pour identifier les vulnérabilités connues (CVE) et les problèmes de licence. Outils : npm audit, pip-audit, Snyk, Dependabot, Trivy.
Pourquoi c'est important
Plus de 80 % du code d'une application moderne provient de dépendances open source. Une seule dépendance vulnérable (Log4j) peut compromettre tout le système.
Comment l'enseigner
Faites lancer npm audit ou pip-audit sur un projet réel des étudiants. La découverte de vulnérabilités dans LEUR propre code a un impact pédagogique bien supérieur à un exercice théorique.
Idée d'exercice
Audit de dépendances : analysez un projet Node.js avec npm audit et Snyk, identifiez les dépendances vulnérables, proposez les mises à jour et vérifiez qu'elles ne cassent pas les tests.
Erreur courante en formation
Ignorer les dépendances transitives (dépendances de dépendances) qui représentent souvent la majorité de la surface d'attaque.
Questions fréquentes
Qu'est-ce que le SCA (Software Composition Analysis) en cybersécurité ?
Analyse des dépendances tierces (bibliothèques open source) d'un projet pour identifier les vulnérabilités connues (CVE) et les problèmes de licence. Outils : npm audit, pip-audit, Snyk, Dependabot, Trivy.
Comment enseigner le SCA (Software Composition Analysis) à des étudiants ?
Faites lancer npm audit ou pip-audit sur un projet réel des étudiants. La découverte de vulnérabilités dans LEUR propre code a un impact pédagogique bien supérieur à un exercice théorique. Audit de dépendances : analysez un projet Node.js avec npm audit et Snyk, identifiez les dépendances vulnérables, proposez les mises à jour et vérifiez qu'elles ne cassent pas les tests.
Pourquoi SCA (Software Composition Analysis) est-il important en formation cybersécurité ?
Plus de 80 % du code d'une application moderne provient de dépendances open source. Une seule dépendance vulnérable (Log4j) peut compromettre tout le système.