Neste episódio do DevSecOps Podcast, fomos direto no ponto: SCA não é sinônimo de caçar CVE em biblioteca open source. Durante anos, muita empresa reduziu Software Composition Analysis a “rodar ferramenta e ver se tem vulnerabilidade no npm ou no Maven”. Só que o jogo ficou mais complexo. Hoje falamos de dependências transitivas invisíveis, pacotes abandonados, licenças incompatíveis, ataques à cadeia de suprimentos e componentes proprietários que ninguém inventaria no SBOM porque “não é open source”. Spoiler: risco não pergunta licença. Discutimos:
- Por que SCA precisa olhar além do GitHub e entender o ecossistema inteiro da aplicação
- O papel real do SBOM e onde ele falha na prática
- Supply chain attacks e o que mudou depois de casos como Log4Shell
- Dependências internas, pacotes privados e artefatos binários esquecidos
- Licenciamento como risco jurídico, não só técnico
- Como integrar SCA de forma estratégica no pipeline e não virar mais um relatório ignorado
Se AppSec é armadura, SCA é o exame de sangue do software. E não adianta medir só colesterol quando o problema pode estar no fígado. Esse episódio é para quem já rodou ferramenta, já viu dashboard bonito e percebeu que ainda assim algo está faltando. Porque está mesmo.
Become a supporter of this podcast:
https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
