

软件组成分析(英语:Software composition analysis;简称SCA)是针对软件的分析,侦测是否有使用开放源代码(open source)组件,软件组件是否是最新版本,是否有会影响安全的缺陷,或是其中有需要授权(licensing)才能合法使用的组件[1]


  • 应用程序会扫描程式码,及编译软件会用到的相关档案。
  • 应用程序会识别开源组件以及其版本,会在扫描的应用程序目录中建立数据库,其中有开源软件的列表。
  • 接下来会将列表和另一个储存组件已知安全漏洞、授权需求以及组件历史版本的数据库比对[3],在侦测安全漏洞时,会和公共漏洞和暴露(CVE)比对,此数据库也是美国国家漏洞数据库英语National Vulnerability Database(NVD)追踪的资料。有些软件有额外的专属漏洞数据库。在确认知识产权(IP)或是法规合规( Legal Compliance)议题时,SCA产品会搜寻开源组件的授权资讯,并且加以评估[4]。有些组件是源自常用的开源存储库(像是GitHubMavenPyPINuGet等),会用开源存储库识别出这些组件以及其版本。
  • 会用上述分析结果,转换为不同的数位格式让终端使用者使用。其内容和格式依SCA产品而定,可能会包括评估及处理风险的指南,若是有正常版或是较宽松版Copyleft授权的需求,也会有建议作法。输出也会包括软件材料表(SBOM),其中会列出应用程序中的所有组件、版本及相关资讯,其中也会包括开源组件[5]





  • 开源软件版本控制:导入新版本时,可能会有软件变更造成的风险。
  • 安全性:组件漏洞的风险(CVE)。
  • 授权:智慧财产(IP)法律要求的风险。
  • 开发:已有代码以及开源软件之间的相容性风险。
  • 支持:文件化(documentation)不足或是软件组件过期英语Obsolescence的风险。


对于密集使用开源组件的组织,需要自动化开源风险的分析及管理。因此产生了帮助组织管理开源风险的软件,称为软件组成分析(Software Composition Analysis, SCA)。SCA设法侦测软件应用程序中有的所有第三方组件,减少相关安全漏洞、IP授权需求、及软件过期的相关风险。



组织中的不同部门里,SCA会有不同的用途。依组织的大小以及结构不同,会使用SCA的部门也会不同。IT部门会用SCA,和共同利害相关者(包括资讯长CIO、技术长CTO以及主企业架构师 Chief Enterprise Architects)来实现及运作相关技术。安全和授权的资料会让资安长(Chief Information Security Officers, CISO)确定安全风险,由Chief IP officer或首席合规官(Chief Compliance officer)处理知识产权的风险[13]

有些SCA产品可以和开发产品时会使用的集成开发环境(IDE)整合,也有些SCA产品会是软件品质控制英语software quality contro流程中的一个步骤[14][15]


另一个使用SCA的情境是在技术的尽责查证。在开始并购(M&A)流程前,需由独立咨询公司英语Independent advisory firm审核目标团队软件相关的风险[17]







  • 复杂及费心力的配置,可能需要花几个月才能完全正常运作[19]
  • 每一个SCA产品都有其专属的开源组件数据库,在大小以及覆盖率上有很大的差异[20]
  • 会把漏洞资料限制在只在NVD上公开报告的资料(可能是在发现漏洞后数个月才会公开报告)[21]
  • 在依照SCA报告所采取的行动上,没有自动化的指南[22]
  • 在开源软件授权的法律要求上,没有对应的指引[23]




