Neste episódio do DevSecOps Podcast, fomos direto no ponto: SCA não é sinônimo de caçar CVE em biblioteca open source. Durante anos, muita empresa reduziu Software Composition Analysis a “rodar ferramenta e ver se tem vulnerabilidade no npm ou no Maven”. Só que o jogo ficou mais complexo. Hoje falamos de dependências transitivas invisíveis, pacotes abandonados, licenças incompatíveis, ataques à cadeia de suprimentos e componentes proprietários que ninguém inventaria no SBOM porque “não é open source”. Spoiler: risco não pergunta licença. Discutimos:

• Por que SCA precisa olhar além do GitHub e entender o ecossistema inteiro da aplicação
• O papel real do SBOM e onde ele falha na prática
• Supply chain attacks e o que mudou depois de casos como Log4Shell
• Dependências internas, pacotes privados e artefatos binários esquecidos
• Licenciamento como risco jurídico, não só técnico
• Como integrar SCA de forma estratégica no pipeline e não virar mais um relatório ignorado

Se AppSec é armadura, SCA é o exame de sangue do software. E não adianta medir só colesterol quando o problema pode estar no fígado. Esse episódio é para quem já rodou ferramenta, já viu dashboard bonito e percebeu que ainda assim algo está faltando. Porque está mesmo.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.