SCA (Software Composition Analysis) untersucht automatisiert alle Drittanbieter-Bibliotheken und Open-Source-Komponenten einer Anwendung auf bekannte Schwachstellen und Lizenzkonflikte. Tools wie Snyk, Dependabot oder OWASP Dependency-Check gleichen die eingesetzten Versionen gegen CVE-Datenbanken ab. Du integrierst SCA idealerweise in Deine CI/CD-Pipeline, damit verwundbare Abhängigkeiten vor dem Deployment erkannt werden. Im ISMS ist SCA eine Kontrolle für sichere Softwareentwicklung und Lieferkettensicherheit. Gemeinsam mit SAST und DAST bildet SCA die dritte Säule der Application Security.