Tous les produits AWS Marketplace
FerroSCA
Sécurité

FerroSCA

Serveur SBOM / SCA et gestion des vulnérabilités natif Rust

Démarrage en moins d'une seconde, <256 MB de RAM Service AWS remplacé: OWASP Dependency-Track
Obtenir sur AWS Marketplace

Un serveur SBOM / SCA et de gestion des vulnérabilités natif Rust. Il ingère des SBOM CycloneDX et SPDX, score les findings avec CVSS et EPSS, et sert les résultats via une REST API. Il s’exécute comme un seul processus Rust — pas de JVM, pas de couche front-end séparée, pas de couche worker séparée — démarre en moins d’une seconde et embarque son dashboard dans le même binaire. AMI Amazon Linux 2023 durcie (arm64 / Graviton).

FerroSCA ingère les SBOM CycloneDX 1.4 / 1.5 / 1.6 (JSON et XML) et SPDX 2.2 / 2.3, corrèle les composants avec les données publiques de vulnérabilités (NVD JSON 2.0, OSV, flux d’advisories publics et catalogue CISA KEV), score les findings avec CVSS v2 / v3 / v4 et EPSS, évalue les politiques et expose les résultats via une REST API. Il prend en charge les identifiants Package URL 0.6 et CPE 2.3, le matching sensible à la distro pour les images de base Alpine / Debian / Ubuntu, un moteur de politiques avec 30+ conditions et la détection de licences SPDX. Les notifications passent par Email et Webhook. L’authentification est local-user (clés API SHA3-256), OIDC et LDAP (gated), avec TLS via rustls et ACL au niveau projet sur les mutations. L’API est une REST API native FerroSCA (standard), plus une édition compatible filaire Dependency-Track REST API v1 en opt-in (dtrack-compat) pour la migration. Périmètre honnête : l’API Dependency-Track couvre 100% des chemins mais environ 69% du deep-schema (symétrie de présence, pas fidélité au niveau champ) — jamais commercialisée comme 100% compatible filaire ni drop-in ; MySQL est exclu, et la topologie Marketplace prise en charge est single-node. Ingénierie : #![forbid(unsafe_code)] dans chaque crate, clippy propre à -D warnings, aucun unwrap() dans le code de production, gate cargo deny, SBOM CycloneDX + self-VDR en CI, et parsers testés par fuzzing.

Le problème

La sécurité de la supply chain logicielle nécessite un serveur qui ingère les SBOM (CycloneDX / SPDX), met en corrélation les composants de dépendance avec les données publiques sur les vulnérabilités, leur attribue un score avec CVSS et EPSS, et les surveille en continu selon des politiques. Un serveur SCA / de gestion des vulnérabilités classique tend à être une architecture multi-tiers — JVM, front-end distinct, workers distincts, base de données externe — ce qui s'avère lourd sur le plan opérationnel. Le besoin réside dans un serveur SBOM / SCA léger vers lequel il est également facile de migrer.

Fonctionnement

  1. 1

    Ingère les SBOM et leur attribue un score

    FerroSCA ingère les SBOM CycloneDX 1.4 / 1.5 / 1.6 (JSON / XML) et SPDX 2.2 / 2.3, met en corrélation les composants avec NVD JSON 2.0, OSV, les flux d'avis publics et la CISA KEV, et attribue un score aux résultats avec CVSS v2 / v3 / v4 et EPSS. Il prend en charge les identifiants Package URL 0.6 et CPE 2.3, ainsi que la mise en correspondance prenant en compte la distribution pour Alpine / Debian / Ubuntu.

  2. 2

    Sert depuis un processus unique

    Les résultats sont fournis via une API REST et le tableau de bord est intégré dans le même binaire. Il s'exécute en tant que processus Rust unique — sans JVM, sans couche front-end distincte ni couche de workers distincte —, démarre en moins d'une seconde et consomme moins d'environ 256 MB de RAM au repos. Il comprend un moteur de politiques avec 30+ conditions et la détection de licences SPDX.

  3. 3

    API native + une édition compatible DT

    Par défaut, il fournit une API REST native de FerroSCA, et pour la migration, vous pouvez opter pour une édition compatible au niveau du protocole avec l'API REST v1 de Dependency-Track (dtrack-compat). L'authentification se fait par utilisateur local (clés d'API SHA3-256), OIDC et LDAP (restreint) ; TLS via rustls ; ACL au niveau du projet pour les mutations ; notifications par Email et Webhook.

Points forts

Ingestion SBOM (CycloneDX 1.4–1.6 JSON / XML, SPDX 2.2 / 2.3) plus intelligence de vulnérabilités (NVD, OSV, advisories publics, CISA KEV) scorée avec CVSS v2 / v3 / v4 + EPSS.

Un seul processus Rust — pas de JVM, pas de couche front-end ou worker séparée ; démarrage en moins d’une seconde, idle sous 256 MB RAM, avec le dashboard embarqué dans le binaire.

REST API native FerroSCA par défaut, plus une édition compatible filaire Dependency-Track REST API v1 en opt-in pour la migration. Périmètre honnête : l’API DT est compatible au niveau des chemins (~69% deep-schema), single-node, MySQL exclu.

Ce qui est inclus

  • AMI Amazon Linux 2023 durcie (arm64 / Graviton, s'exécute sur les classes t4g / c7g / m7g / r7g)
  • Un unique binaire Rust implémentant le serveur SBOM / SCA et de gestion des vulnérabilités (sans JVM, sans couche front-end/worker distincte, démarrage en moins d'une seconde, moins de 256 MB de RAM, tableau de bord intégré)
  • Ingestion de SBOM : CycloneDX 1.4 / 1.5 / 1.6 (JSON / XML) + SPDX 2.2 / 2.3, avec exportation vers CycloneDX, SPDX, VDR et VEX
  • Intelligence sur les vulnérabilités : NVD JSON 2.0, OSV, flux d'avis publics et CISA KEV, avec enrichissement EPSS, consommation CSAF 2.0 / VEX 1.4 et importation de miroirs en environnement air-gapped
  • Scoring CVSS v2 / v3 / v4 + EPSS, Package URL 0.6 / CPE 2.3, mise en correspondance prenant en compte la distribution pour Alpine / Debian / Ubuntu, et un moteur de politiques avec 30+ conditions plus détection de licences SPDX
  • Une API REST native de FerroSCA (par défaut) plus une édition optionnelle compatible au niveau du protocole avec l'API REST v1 de Dependency-Track, des notifications par Email / Webhook, une authentification par utilisateur local (clés d'API SHA3-256) / OIDC / LDAP, TLS via rustls et des ACL au niveau du projet
  • Pas de plan de contrôle distinct, pas d'appel de télémétrie vers l'extérieur et pas de vérification de clé de licence (facturé par instance par heure via votre facture AWS)

Cas d'usage

Ingérer les SBOM (CycloneDX / SPDX) générés dans la CI/CD et surveiller en continu les vulnérabilités des composants de dépendance

Les équipes qui souhaitent un serveur SBOM / SCA léger à binaire unique sur leurs propres instances EC2 plutôt qu'une pile multi-tiers basée sur une JVM

Migrer depuis Dependency-Track via l'édition compatible au niveau du protocole de l'API REST v1

Exécuter un serveur de gestion des vulnérabilités entièrement au sein de votre propre VPC, sans plan de contrôle distinct ni appel de télémétrie vers l'extérieur

FAQ

Quels formats de SBOM sont pris en charge ?

L'ingestion prend en charge CycloneDX 1.4 / 1.5 / 1.6 (JSON et XML) et SPDX 2.2 / 2.3, avec exportation vers CycloneDX, SPDX, VDR et VEX. Elle propose l'upload en streaming, un plafond de mémoire et un traitement asynchrone basé sur des jetons.

D'où proviennent les données sur les vulnérabilités ?

De NVD JSON 2.0, OSV, des flux d'avis publics et du catalogue CISA KEV, enrichis avec EPSS. Il consomme également CSAF 2.0 / VEX 1.4 et prend en charge l'importation de miroirs en environnement air-gapped.

Est-il compatible avec Dependency-Track ?

Par défaut, il s'agit de l'API REST native de FerroSCA. Pour la migration, vous pouvez opter pour une édition compatible au niveau du protocole avec l'API REST v1 de Dependency-Track (dtrack-compat). En toute franchise, cependant, l'API de Dependency-Track offre une couverture des chemins de 100 % mais seulement environ 69 % du schéma profond (symétrie de présence, et non fidélité au niveau des champs) — elle n'est donc jamais commercialisée comme étant 100 % compatible au niveau du protocole ou drop-in, et MySQL est exclu.

S'agit-il d'un remplacement pour un service AWS ?

FerroSCA se situe dans l'espace open-source des SBOM / SCA et de la gestion des vulnérabilités, et n'est pas positionné comme un remplacement pour un service AWS spécifique. Il s'agit d'un serveur autogéré qui s'exécute sur vos propres instances EC2, fourni sous la forme d'une AMI Amazon Linux 2023 normale (arm64 / Graviton) que vous exécutez dans votre propre VPC.

Qu'en est-il de la topologie et de la posture de sécurité ?

La topologie prise en charge sur Marketplace est de type single-node. L'authentification se fait par utilisateur local (clés d'API SHA3-256), OIDC et LDAP (restreint) ; TLS via rustls ; ACL au niveau du projet pour les mutations. Sur le plan de l'ingénierie : #![forbid(unsafe_code)] dans chaque crate, clippy clean avec -D warnings, pas d'unwrap() dans le code de production, un contrôle cargo deny, un SBOM CycloneDX + self-VDR dans la CI, et des analyseurs testés par fuzzing.

Modèle de tarification

Frais logiciel horaires + EC2 (classe t4g / c7g / m7g / r7g, Arm). Facturation à l’usage par type d’instance.

Obtenir sur AWS Marketplace

Autres produits S4

S4 — Squished S3
Stockage & données

S4 — Squished S3

Gateway transparent de compression S3 par GPU

50–80% d'octets de stockage en moins
Remplace: Stockage Amazon S3
S4 Logs
Observabilité

S4 Logs

Archiver CloudWatch Logs vers S3 zstd

70–90% de réduction sur CloudWatch Logs
Remplace: Amazon CloudWatch Logs
S4 Metrics
Observabilité

S4 Metrics

Gouverner la cardinalité des métriques CloudWatch

Maîtriser le coût de cardinalité des métriques
Remplace: Métriques personnalisées CloudWatch