Datadog Software Composition Analysis (SCA) te permite identificar, priorizar y resolver fácilmente vulnerabilidades y otros riesgos en las bibliotecas de software de código abierto (OSS) de terceros utilizadas en tus servicios de aplicación.

Este tema describe cómo utilizar SCA para ver y resolver vulnerabilidades y riesgos en tus bibliotecas de código abierto.

Beneficios de SCA

SCA aborda los siguientes riesgos asociados a las bibliotecas de código abierto:

• Vulnerabilidades de seguridad: vulnerabilidades conocidas, en particular las que tienen CVE (vulnerabilidades y exposiciones comunes).
• Malware: actores maliciosos que utilizan técnicas como el typosquatting y el hijacking para distribuir programas maliciosos.
• Problemas de licencias: el incumplimiento de diversas licencias de código abierto puede acarrear problemas legales.
• Bibliotecas obsoletas: el uso de componentes obsoletos puede introducir vulnerabilidades sin parche y problemas de compatibilidad.
• Bibliotecas sin mantenimiento: la falta de desarrollo activo puede dar lugar a errores no resueltos y fallos de seguridad.
• Limpieza de seguridad escasa: algunos proyectos carecen de prácticas recomendadas en materia de seguridad, como la revisión adecuada del código.

Datadog SCA ayuda a automatizar los procesos de reducción de riesgos, mejorando la productividad de las siguientes maneras:

• Integración a lo largo del ciclo de vida del desarrollo: analiza los componentes de código abierto y de terceros, proporcionando un catálogo detallado de bibliotecas.
• Evaluación continua: ofrece visibilidad en tiempo real de servicios desplegados, mejorando la postura de seguridad al permitir la priorización de vulnerabilidades en entornos confidenciales.
• Colaboración: rompe silos e involucra a más equipos en seguridad (DevOps, Operaciones, SREs), fomentando una cultura de colaboración.

Consulta las bibliotecas utilizadas en tus servicios

El Catálogo de bibliotecas muestra las bibliotecas y las versiones utilizadas en tus servicios.

El catálogo muestra todos los detalles de biblioteca utilizando varias fuentes de datos públicas (GuardDog, NIST, osv.dev, puntuaciones OpenSSF, etc.) y privadas (incluido el grupo de Investigación de seguridad de Datadog).

Para utilizar el catálogo de bibliotecas, consulta bibliotecas o selecciona Security > Application Security > Catalogs > Libraries (Seguridad > Seguridad de aplicaciones > Catálogos > Bibliotecas).

En el catálogo de bibliotecas, puedes:

• Ver todas las bibliotecas utilizadas en cada uno de tus servicios.
• En View (Vista), selecciona Runtime (Tiempo de ejecución) para ver bibliotecas detectadas en tiempo de ejecución.
• En View (Vista), selecciona Static (Estático) para ver bibliotecas detectadas en tus repositorios de código fuente.
• Utiliza la faceta Vulnerability Severity (Gravedad de la vulnerabilidad) para filtrar bibliotecas según el grado de vulnerabilidad.
• Consulta el repositorio de fuentes de cada biblioteca.
• Consulta los detalles de biblioteca, como la versión actual utilizada en un servicio y la última versión disponible.
• Consulta la planilla OpenSSF de la biblioteca.

Ver vulnerabilidades y riesgos en bibliotecas

En el explorador de Vulnerabilities (Vulnerabilidades), puedes ver las vulnerabilidades y riesgos de las bibliotecas que estás utilizando.

Vulnerabilidades de biblioteca

Una vulnerabilidad de biblioteca es un fallo de seguridad en una biblioteca.

Para ver tus vulnerabilidades de biblioteca, consulta Vulnerabilidades de biblioteca o navega hasta Security > Vulnerabilities > Library Vulnerabilities (Seguridad > Vulnerabilidades > Vulnerabilidades de biblioteca).

En Library Vulnerabilities (Vulnerabilidades de biblioteca), puedes:

• Utilizar la faceta Vulnerability (Vulnerabilidad) para ver los distintos tipos de vulnerabilidad.
  • Por ejemplo, cada vulnerabilidad tiene un ID de CVE asociado, que se muestra en el explorador y en cada detalle de biblioteca. Puedes utilizar la faceta Vulnerabilidad para ordenar por ID de CVE.
• Ver detalles de vulnerabilidad como:
  • Explicación
  • Servicio y entorno
  • Primera y última detección
  • Ventana de exposición
  • Desglose por gravedad
  • Pasos de correcció

Riesgos de biblioteca

Los riesgos de biblioteca son un grupo de debilidades que no están directamente relacionadas con la seguridad. Por ejemplo, la biblioteca está obsoleto, la licencia del proyecto es demasiado restrictiva o el equipo sigue malas prácticas de seguridad.

Para ver tus riesgos en biblioteca, consulta Riesgos de biblioteca o selecciona Security > Vulnerabilities > Library Risks (Seguridad > Vulnerabilidades > Riesgos de biblioteca)

En Riesgos de biblioteca, puedes:

• En View (Vista), selecciona Runtime (Tiempo de ejecución) para ver riesgos detectados en tiempo de ejecución.
• En View (Vista), selecciona Static (Estático) para ver riesgos detectados en tus repositorios de código fuente.
• Ver detalles de riesgo como:
  • Explicación
  • Servicio y entorno
  • Primera y última detección
  • Ventana de exposición
  • Desglose por gravedad

Buenas prácticas para mitigar los riesgos

Para mitigar los riesgos, sigue estas prácticas recomendadas:

• Diligencia debida: evalúa a fondo los proyectos de código abierto antes de utilizarlos.
• Mantente al día: actualiza regularmente los componentes y suscríbete a los avisos de seguridad.
• Gestión de vulnerabilidades: establece procesos para clasificar y corregir vulnerabilidades.
• Medición: realiza un seguimiento de métricas para comprender y mejorar la postura de seguridad a lo largo del tiempo.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Mitigar las vulnerabilidades de las bibliotecas de terceros con Datadog Software Composition AnalysisBLOG