15. 關於軟體組成分析（Software Composition Analysis），下列敘述何者「不」 正確？
(A) 可透過分析來識別所使用第三方/開源軟體，其所存在的風險或 威脅
(B) 「軟體組成分析」為源碼檢測其一類型，主要分析軟體是否存在 開發語法缺陷
(C) 所分析的風險因子包括，如：元件過期、已知弱點、程式庫信 任、軟體授權等
(D) 「軟體透明度」能提升分析準確性，可透過如 SBOM 標準來發 佈與交換資訊

正確答案是 (B) 「軟體組成分析」為源碼檢測其一類型，主要分析軟體是否存在開發語法缺陷。

這句話的敘述不正確，因為軟體組成分析（SCA）和源碼檢測（SAST）是兩種不同的資安檢測方法，各有其目的：

軟體組成分析 (SCA)

SCA 是一種自動化工具，主要用於分析應用程式中所使用的第三方元件、開源函式庫及商業套件。它的目的是：

• 識別這些元件。

• 檢測它們是否包含已知的安全漏洞（例如，來自 CVE 資料庫）。

• 評估其授權合規性。

• 追蹤元件版本是否過期。

簡單來說，SCA 是在幫你盤點「你用了哪些別人寫好的程式碼」，並檢查這些程式碼是否有已知的問題。

源碼檢測 (SAST)

SAST 則是用來分析開發人員自己撰寫的原始程式碼，以找出其中潛在的開發語法缺陷或邏輯漏洞，例如 SQL Injection、Cross-Site Scripting (XSS) 等。

總結

雖然 SCA 和 SAST 都屬於應用程式安全測試（AST）的範疇，但它們關注的重點完全不同。SCA 關注的是第三方元件的風險，而 SAST 關注的是內部程式碼的缺陷。因此，說 SCA 是 SAST 的一種是不正確的。

其他選項的正確性

• (A) SCA 的核心功能就是識別和分析第三方軟體元件的風險。

• (C) SCA 工具會檢查元件過期、已知弱點、程式庫的信任度以及軟體授權等，這些都是其風險評估的重要指標。

• (D) 軟體物料清單（SBOM）是 SCA 領域的關鍵概念。它提供了一個透明的清單，列出應用程式所包含的所有元件，從而大大提升 SCA 分析的準確性和效率。