網絡安全公司 Endor Labs表示，微軟已將旗下的軟件成分析技術（英文縮寫為SCA）以原生的方式整合到旗下的Microsoft Defender for Cloud 云原生應用保護平臺中。

這意味著安全團隊現在可以將應用安全和云安全項目整合到一個平臺上及跨越軟件開發和部署周期所有階段的統一儀表板。

SCA是一種用于識別和管理軟件應用程序中開源組件和依賴關系的流程。SCA側重于分析軟件代碼庫，進而檢測第三方庫、框架和開源組件的使用情況。CNAPP （云原生應用保護平臺）保護云原生應用程序的方式是通過處理軟件容器、Kubernetes 容器編排器、無服務器功能和微服務等的獨特特性。

Endor Labs 周二表示，原生整合使團隊能夠將 SCA 發現與運行時警報進行關聯，可以查看代碼到運行時的攻擊路徑。這意味著他們可以在云環境中將開源軟件依賴關系中發現的可利用漏洞追蹤哪些潛在利用路徑。這樣就可以進行更有針對性的修復。

從代碼追蹤運行時漏洞還可以揭示一些難以發現的問題，例如一些在互聯網可訪問的云工作負載上使用的開源軟件包中的可達漏洞。Defender for Cloud 用戶可以看到完整的從提交的代碼到云中運行時工作負載的攻擊路徑。

盡管根據 Endor Labs 的研究只有 9.5% 的漏洞可在特定應用程序環境中被利用，但團隊要識別關鍵漏洞可能會非常困難。該公司的報告表示，風險往往沒有被充分記錄，只有 2% 的公共公告包含有關哪些庫函數存在風險的信息。

安全團隊現在可以利用 Defender for Cloud 整合，對他們發現的每個漏洞進行函數級可達性分析，并查看正在運行的應用程序中是否存在函數級可達的漏洞。發現了“可達”漏洞就表明開發人員的代碼存在一些通過開源依賴關系到存在漏洞的庫或函數的攻擊路徑。

Defender for Cloud整合目前處于公開預覽階段，將由 Azure市場提供。