Análisis de la composición del software (SCA)
¡Obtén la versión preliminar!
Software Composition Analysis se encuentra en versión preliminar.
Code Analysis no se encuentra disponible para el sitio .
Software Composition Analysis (SCA) escanea bibliotecas de código abierto importadas a repositorios a través de administradores de paquetes como npm en busca de vulnerabilidades conocidas, y crea un catálogo de bibliotecas usadas en tus repositorios que identifica licencias riesgosas, bibliotecas al final de su vida útil y vulnerabilidades para garantizar una base de código segura y de alta calidad.
Los escaneos de SCA se pueden ejecutar directamente a través de Datadog o en tus pipelines de CI mediante Code Analysis para detectar vulnerabilidades de bibliotecas antes de que lleguen a producción. Datadog también ofrece detección en tiempo de ejecución a través de Datadog Application Security.
Configurar Software Composition Analysis
SCA admite el escaneo de bibliotecas en los siguientes lenguajes y tecnologías:
Para comenzar, configura Software Composition Analysis en la página de Code Analysis o consulta la documentación de configuración.
Archivos de bloqueo
SCA escanea las bibliotecas en tus archivos de bloqueo. Se admiten los siguientes archivos de bloqueo:
| Administrador de paquetes | Archivo de bloqueo |
|---|
| C# (.NET) | packages.lock.json |
| Go (mod) | go.mod |
| JVM (Gradle) | gradle.lockfile |
| JVM (Maven) | pom.xml |
| Node.js (npm) | package-lock.json |
| Node.js (pnpm) | pnpm-lock.yaml |
| Node.js (yarn) | yarn.lock |
| PHP (composer) | composer.lock |
| Python (pip) | requirements.txt, Pipfile.lock |
| Python (poetry) | poetry.lock |
| Ruby (bundler) | Gemfile.lock |
Integrar Software Composition Analysis en el ciclo de vida del desarrollo de software
Proveedores de CI
Puedes ejecutar SCA en cualquier proveedor de plataforma de CI que elijas. Consulta la documentación específica del proveedor para configurar SCA en tus pipelines de CI:
Buscar y filtrar resultados
Datadog Software Composition Analysis puede encontrar bibliotecas vulnerables a lo largo del ciclo de vida del desarrollo de software (SDLC). Code Analysis resume los resultados encontrados al escanear de manera directa tus repositorios. Para ver todas las vulnerabilidades encontradas en los repositorios y en el tiempo de ejecución consolidadas, consulta
Application Security a fin de obtener más detalles.
Después de configurar tus pipelines de CI para ejecutar Datadog SCA, las infracciones se resumen por repositorio en la página de Code Analysis Repositories (Repositorios de Code Analysis). Haz clic en un repositorio para analizar los resultados de Library Vulnerabilities (Vulnerabilidades de la biblioteca) y Library Catalog (Catálogo de bibliotecas) de Software Composition Analysis.
- La pestaña Library Vulnerabilities (Vulnerabilidades de la biblioteca) contiene las versiones de biblioteca vulnerables que ha encontrado Datadog SCA.
- La pestaña Library Catalog (Catálogo de bibliotecas) contiene todas las bibliotecas (vulnerables o no) que ha encontrado Datadog SCA.
Para filtrar los resultados, usa las facetas que se encuentran a la izquierda de la lista o la barra de búsqueda en la parte superior. Los resultados se pueden filtrar por facetas de servicio o equipo. Para obtener más información sobre cómo se vinculan los resultados a los servicios y equipos de Datadog, consulta Empezando con Code Analysis.
Cada fila representa una combinación única de biblioteca y versión. Cada combinación está asociada con la confirmación y la rama específicas que se seleccionan en los filtros en la parte superior de la página (de manera predeterminada, la última confirmación en la rama predeterminada del repositorio que seleccionaste).
Haz clic en una biblioteca con una vulnerabilidad para abrir un panel lateral que contiene información sobre el contexto de la infracción y dónde se originó.
El contenido de la infracción se muestra en pestañas:
- Full Description (Descripción completa): una descripción de la vulnerabilidad de esta versión específica de la biblioteca.
- Event (Evento): metadatos JSON sobre el evento de infracción de SCA.
Referencias adicionales
Más enlaces, artículos y documentación útiles:
