2019年，Gartner在报告中把SCA纳入AST技术领域范围，从而形成了包含SAST、DAST、IAST和SCA的应用软件安全测试技术体系，并正式发布了有关软件成分分析（SCA）的技术洞察报告。其中，对软件成分分析技术进行了准确定义：软件成分分析产品通常在开发过程中对应用程序进行分析，以检测开源软件组件是否带有已知的漏洞，例如具有可用安全补丁程序的过期库，以及需要相应授权许可（法律风险）的商业软件或第三方产品。

SCA致力于确保企业软件供应链的安全，从而支撑安全的应用程序开发和组装。

为什么要做SCA？
管理者视角：除了不断解决运维、员工开发、外部主动攻击会带来的单点对抗问题，如何有效管理供应商或者外部投资因素带来的安全风险？公司无边界发展，不断扩张带来什么安全变化？
员工视角：如何保障在公司内使用的操作系统、开发工具、组件，产出的产品到达用户面前的制品流转过程都是安全可信的？
政府视角：信息安全技术 ICT供应链安全风险管理指南》ISO/IEC 20243《信息技术-开放可信技术供应商标准-减少被恶意污染和伪冒的产品》
ISO/IEC 27036《信息技术-安全技术-供应商关系信息安全》
NIST SP 800-161《联邦信息系统和组织供应链风险管理方法》
——安全乐观主义点评

SCA致力于解决什么问题？
应用第三方组件中的已知漏洞。 第三方组件中本身存在的漏洞，攻击者可以利用这些已知的漏洞，对应用系统进行攻击破坏。
第三方组件的软件许可问题。 这方面主要是分析调用的第三方组件的许可证类型。目前，国际公认的开源许可证共有80多种。有的许可证对软件的使用方式几乎没有限制，用户几乎不用关心需要承担的责任，但是也存在一些限制性比较强的许可证，如果不小心调用，可能会带来较大的法律风险和知识产权的损失。
第三方组件中的恶意代码问题。 这方面的问题不算普遍，但是危害也比较大。风险的来源主要是在非正规渠道获取被篡改的第三方组件，或使用了恶意开发者提供的第三方组件，未经确认就引入开发的业务系统中会带来极大风险。
引用版本过旧的第三方组件。版本过旧从表面来看，跟安全好像关系不大，但是仔细想想，比较老旧的第三方组件有可能会存在一些未知的、开发者没有公布的、且已修复的0day，所以这方面可以当作是不重要不紧急的风险来对待。

分析NPM、PYPI、MAVEN组件简单，检索二进制文件复杂，软件的license法务问题大家关注不多，既然各家公司都没有致力于去解决，背后一定有原因的，可以暂时先放一放，等待事件驱动了再说。一般业界提出安全团队该如何及时发现安全漏洞情报，发现不安全组件所在仓库。其实相比于升级的困难，这些安全工作仅仅是开头。 ——安全乐观主义点评