Ejecuta un trabajo de Análisis de la composición del software de Detadog en tus flujos de trabajo de acciones de GitHub. Esta acción invoca Datadog osv-scanner en tu código base y carga los resultados en Datadog.

Generación de inventarios de biblioteca

La acción de GitHub genera un inventario de bibliotecas en forma automática basándose en las bibliotecas que se declaran en tu repositorio.

La acción de GitHub funciona para los siguientes lenguajes y archivos:

  • JavaScript/TypeScript: package-lock.json y yarn.lock
  • Python: requirements.txt (con versión definida) y poetry.lock
  • Java: pom.xml
  • C#
  • Ruby
  • … y más lenguajes (enumerados en la documentación)

Configuración

Configurar claves

Añade DD_APP_KEY y DD_API_KEY como secretos en tu Configuración de acciones de GitHub. Asegúrate de que tu clave de aplicación Datadog tenga el contexto code_analysis_read. Para más información, consulta Claves de API y de aplicación.

Flujo de trabajo

Añade el siguiente fragmento de código en .github/workflows/datadog-sca.yml. Asegúrate de sustituir el atributo dd_site con el sitio Datadog que estés utilizando.

on: [push]

name: Datadog Software Composition Analysis

jobs:
  software-composition-analysis:
    runs-on: ubuntu-latest
    name: Datadog SBOM Generation and Upload
    steps:
    - name: Checkout
      uses: actions/checkout@v3
    - name: Check imported libraries are secure and compliant
      id: datadog-software-composition-analysis
      uses: DataDog/datadog-sca-github-action@main
      with:
        dd_api_key: ${{ secrets.DD_API_KEY }}
        dd_app_key: ${{ secrets.DD_APP_KEY }}
        dd_site: "datadoghq.com"

Herramientas relacionadas de Datadog

Con el análisis estático de Datadog se analiza tu código y se proporciona información en tu IDE, GitHub PR o en el entorno de Datadog. El análisis estático de Datadog puede configurarse mediante la acción datadog-static-analyzer-github-action de GitHub.

Referencias adicionales

Más enlaces, artículos y documentación útiles: