Automatizace nástrojů SCA

Abstract

Tato diplomová práce se zabývá návrhem a implementací nástroje pro Software Composition Analysis (SCA), který slouží k identifikaci a analýze závislostí v softwarových projektech a detekci jejich potenciálních zranitelností. Hlavním cílem bylo vytvořit lehký a snadno použitelný nástroj, který dokáže automatizovat proces manuální analýzy. Práce se zaměřuje na tři populární ekosystémy Java (Maven), JavaScript (npm) a Python (pip) a využívá jejich nativní nástroje pro generování stromů závislostí. Dále je popsán způsob získávání metadat o knihovnách a vyhledávání zranitelností prostřednictvím veřejného API. Výstupem nástroje je HTML report shrnující stav všech použitých závislostí, včetně doporučení k aktualizaci. Výsledkem je funkční a rozšiřitelný nástroj, který může být užitečný zejména pro menší projekty, jež nemají přístup ke komerčním řešením.

This thesis presents the design and implementation of a Software Composition Analysis (SCA) tool for identifying and analyzing dependencies in software projects and detecting their potential vulnerabilities. The main goal was to create a lightweight and user-friendly tool that automates manual analysis. The work focuses on three widely used ecosystems Java (Maven), JavaScript (npm), and Python (pip) and leverages their native tools to generate dependency trees. It also describes methods for retrieving dependency metadata and identifying vulnerabilities using public API. The tool outputs a HTML report summarizing all detected dependencies, their vulnerabilities, and recommendations for possible updates. The result is a functional and extensible solution, particularly useful for smaller projects that do not have access to commercial SCA tools.