ソフトウェア構成分析（SCA）（Software Composition Analysis）

ソフトウェア構成分析（SCA）とは、ひとことで言えば、アプリケーションが使用しているオープンソースやサードパーティのライブラリを特定し、既知の脆弱性やライセンス違反がないかを検査する手法です。たとえば、Node.jsプロジェクトのpackage.jsonに含まれる数百の依存パッケージを自動スキャンし、CVEが報告されている脆弱なバージョンを検出してアップデートを推奨します。現代のアプリケーションはコードの70〜90%がオープンソースコンポーネントで構成されるため、自社開発コードだけでなく依存関係の安全性確保が不可欠です。SBOM（Software Bill of Materials）の生成と組み合わせることで、サプライチェーン全体の透明性を確保できます。