Puedes detectar vulnerabilidades a nivel de código y monitorizar la seguridad de las aplicaciones en aplicaciones Java que se ejecutan en Docker, Kubernetes, Amazon ECS y AWS Fargate.

Sigue estos pasos para activar Runtime Code Analysis (IAST) en tu servicio:

1. Actualiza tu Datadog Agent al menos a la versión 7.41.1.

2. Actualiza tu biblioteca de rastreo de Datadog al menos a la versión mínima necesaria para activar Runtime Code Analysis (IAST). Para obtener más información, consulta Requisitos de compatibilidad más abajo.

3. Añade la variable de entorno DD_IAST_ENABLED=true a la configuración de tu aplicación.

   Desde la línea de comandos:

   java -javaagent:/path/to/dd-java-agent.jar -Ddd.iast.enabled=true -Ddd.service=<MY SERVICE> -Ddd.env=<MY_ENV> -jar path/to/app.jar
   

   O uno de los siguientes métodos de herramientas de orquestación, dependiendo de dónde se ejecuta tu aplicación.

   Nota: Los sistemas de archivos de solo lectura no son compatibles. La aplicación debe tener acceso a un directorio /tmp en el que se pueda escribir.

CLI Docker

Actualiza tu contenedor de configuración para APM añadiendo el siguiente argumento en tu comando docker run:

docker run [...] -e DD_IAST_ENABLED=true [...]

Archivo Docker

Añade el siguiente valor de variable de entorno a tu contenedor Dockerfile:

DD_IAST_ENABLED=true

Kubernetes

Actualiza tu archivo de configuración de despliegue para APM y añade la variable de entorno de IAST:

spec:
  template:
    spec:
      containers:
        - name: <CONTAINER_NAME>
          image: <CONTAINER_IMAGE>/<TAG>
          env:
            - name: DD_IAST_ENABLED
              value: "true"

Amazon ECS

Actualiza tu archivo JSON de definición de tarea de ECS añadiendo esto en la sección de entorno:

"environment": [
  ...,
  {
    "name": "DD_IAST_ENABLED",
    "value": "true"
  }
]

Puedes detectar vulnerabilidades a nivel de código y monitorizar la seguridad de las aplicaciones en aplicaciones .NET que se ejecutan en Docker, Kubernetes, Amazon ECS y AWS Fargate.

Sigue estos pasos para activar Runtime Code Analysis (IAST) en tu servicio:

1. Actualiza tu Datadog Agent al menos a la versión 7.41.1.

2. Actualiza tu biblioteca de rastreo de Datadog al menos a la versión mínima necesaria para activar Runtime Code Analysis (IAST). Para obtener más información, consulta Requisitos de compatibilidad más abajo.

3. Añade la variable de entorno DD_IAST_ENABLED=true a la configuración de tu aplicación. Por ejemplo, en Windows autoalojado, ejecuta el siguiente fragmento de PowerShell como parte del script de inicio de la aplicación:

   $target=[System.EnvironmentVariableTarget]::Process
   [System.Environment]::SetEnvironmentVariable("DD_IAST_ENABLED","true",$target)
   

O uno de los siguientes métodos, dependiendo de dónde se ejecuta tu aplicación:

Windows-autoalojado

En una consola Windows:

rem Configura variables de entorno 
SET DD_IAST_ENABLED=true

rem Iniciar aplicación
dotnet.exe ejemplo.dll

IIS

Ejecuta el siguiente comando de PowerShell como administrador para configurar las variables de entorno necesarias en el registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment y reinicia IIS.

$target=[System.EnvironmentVariableTarget]::Machine
[System.Environment]::SetEnvironmentVariable("DD_IAST_ENABLED","true",$target)
net stop was /y
net start w3svc

Linux

Añade lo siguiente a la configuración de tu aplicación:

DD_IAST_ENABLED=true

CLI Docker

Actualiza tu contenedor de configuración para APM añadiendo el siguiente argumento en tu comando docker run:

docker run -d --name app -e DD_IAST_ENABLED=true company/app:latest

Archivo Docker

Añade el siguiente valor de variable de entorno a tu contenedor Dockerfile:

ENV DD_IAST_ENABLED=true

Kubernetes

Actualiza tu archivo de configuración de despliegue para APM y añade la variable de entorno de ASM:

spec:
  template:
    spec:
      containers:
        - name: <CONTAINER_NAME>
          image: <CONTAINER_IMAGE>/<TAG>
          env:
            - name: DD_IAST_ENABLED
              value: "true"

AWS ECS

Actualiza tu archivo JSON de definición de tarea de ECS añadiendo esto en la sección de entorno:

"environment": [
  ...,
  {
    "name": "DD_IAST_ENABLED",
    "value": "true"
  }
]

AWS Fargate

Añade la siguiente línea a tu contenedor Dockerfile:

ENV DD_IAST_ENABLED=true

Para ver Runtime Code Analysis (IAST) en acción, navega por tu servicio y encuentra vulnerabilidades a nivel de código en el Explorador de vulnerabilidades.

Si necesitas ayuda adicional, ponte en contacto con el equipo de asistencia de Datadog.

Puedes detectar vulnerabilidades a nivel de código y monitorizar la seguridad de las aplicaciones en aplicaciones Node.js que se ejecutan en Docker, Kubernetes, Amazon ECS y AWS Fargate.

Sigue estos pasos para activar Runtime Code Analysis (IAST) en tu servicio:

1. Actualiza tu Datadog Agent al menos a la versión 7.41.1.

2. Actualiza tu biblioteca de rastreo de Datadog al menos a la versión mínima necesaria para activar Runtime Code Analysis (IAST). Para obtener más información, consulta Requisitos de compatibilidad más abajo.

3. Añade la variable de entorno DD_IAST_ENABLED=true a la configuración de tu aplicación.

   Si inicializas la biblioteca de APM en la línea de comandos utilizando la opción --require para Node.js:

   node --require dd-trace/init app.js
   

   A continuación, utiliza variables de entorno para habilitar ASM:

   DD_IAST_ENABLED=true node app.js
   

   La forma de hacerlo varía en función de dónde se ejecuta el servicio:

CLI Docker

Actualiza tu contenedor de configuración para APM añadiendo el siguiente argumento en tu comando docker run:

docker run [...] -e DD_IAST_ENABLED=true [...]

Archivo Docker

Añade el siguiente valor de variable de entorno a tu contenedor Dockerfile:

ENV DD_IAST_ENABLED=true

Kubernetes

Actualiza el contenedor del archivo yaml de configuración para APM y añade la variable de entorno AppSec:

spec:
  template:
    spec:
      containers:
        - name: <CONTAINER_NAME>
          image: <CONTAINER_IMAGE>/<TAG>
          env:
            - name: DD_IAST_ENABLED
              value: "true"

Amazon ECS

Actualiza tu archivo JSON de definición de tarea de ECS añadiendo esto en la sección de entorno:

"environment": [
  ...,
  {
    "name": "DD_IAST_ENABLED",
    "value": "true"
  }
]

Puedes detectar vulnerabilidades a nivel de código y monitorizar la seguridad de las aplicaciones en aplicaciones Python que se ejecutan en Docker, Kubernetes, Amazon ECS y AWS Fargate.

NOTA: La detección de vulnerabilidades a nivel de código en Python está en fase de Vista previa.

Sigue estos pasos para activar Runtime Code Analysis (IAST) en tu servicio:

1. Actualiza tu Datadog Agent al menos a la versión 7.41.1.

2. Actualiza tu biblioteca de rastreo de Datadog al menos a la versión mínima necesaria para activar Runtime Code Analysis (IAST). Para obtener más información, consulta Requisitos de compatibilidad más abajo.

3. Añade la variable de entorno DD_IAST_ENABLED=true a la configuración de tu aplicación.

   Desde la línea de comandos:

   DD_IAST_ENABLED=true ddtrace-run python app.py
   

   O uno de los siguientes métodos, dependiendo de dónde se ejecute la aplicación:

CLI Docker

Actualiza tu contenedor de configuración para APM añadiendo el siguiente argumento en tu comando docker run:

docker run [...] -e DD_IAST_ENABLED=true [...]

Archivo Docker

Añade el siguiente valor de variable de entorno a tu contenedor Dockerfile:

DD_IAST_ENABLED=true

Kubernetes

Actualiza tu archivo de configuración de despliegue para APM y añade la variable de entorno de IAST:

spec:
  template:
    spec:
      containers:
        - name: <CONTAINER_NAME>
          image: <CONTAINER_IMAGE>/<TAG>
          env:
            - name: DD_IAST_ENABLED
              value: "true"

Amazon ECS

Actualiza tu archivo JSON de definición de tarea de ECS añadiendo esto en la sección de entorno:

"environment": [
  ...,
  {
    "name": "DD_IAST_ENABLED",
    "value": "true"
  }
]

Nota sobre la compatibilidad de bibliotecas de terceros

Runtime Code Analysis (IAST) modifica el código Python en tiempo de ejecución. Esto podría causar conflictos con otras bibliotecas de terceros Python que realizan transformaciones de código similares, en particular los siguientes, aunque sin limitarse a ellos:

• Numba
• JAX
• TorchScript
• TensorFlow
• Bytecode
• Codetransformer
• PyPy

Además, Runtime Code Analysis (IAST) no propaga correctamente los rangos de taint sobre el código nativo (compilado). Por lo tanto, si tu código se basa en gran medida en módulos escritos en C o C++, utilizando la API CPython, o en sistemas de lenguaje intermedio como Cython, los resultados podrían ser menos precisos de lo esperado.

Funciones de seguridad de las aplicaciones

Las siguientes funciones de seguridad de las aplicaciones son compatibles con la biblioteca Java para la versión de rastreador especificada:

La versión mínima de rastreador para contar con todas las funciones de seguridad de las aplicaciones compatibles para Java es v1.31.0.

Nota: La protección frente a amenazas requiere habilitar la configuración remota, que se incluye en la versión mínima de rastreador indicada.

Tipos de despliegue compatibles

Nota: Azure App Service es compatible sólo con aplicaciones web. La seguridad de las aplicaciones no es compatible con funciones Azure.

Compatibilidad con lenguajes y marcos

Versiones compatibles de Java

El rastreador Java es compatible con la instrumentación automática para los tiempos de ejecución Oracle JDK y OpenJDK de máquinas virtuales Java.

Datadog no admite oficialmente ninguna versión de acceso anticipado de Java.

Compatibilidad con marcos web

• Detalles de una solicitud HTTP originada por un atacante
• Etiquetas (tags) para la solicitud HTTP (código de estado, método, etc.)
• Rastreo distribuido para visualizar flujos (flows) de ataques en tus aplicaciones

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• Si Runtime Code Analysis (IAST) no es compatible con tu marco de trabajo, sigue detectando las vulnerabilidades Cifrado débil, Hashing débil, Aleatoriedad débil, Cookie insegura, Cookie sin indicador HttpOnly y Cookie sin indicador SameSite.

Nota: Muchos servidores de aplicaciones son compatibles con Servlet y están cubiertos automáticamente por esa instrumentación, como por ejemplo Websphere, Weblogic y JBoss. Además, los marcos como Spring Boot (versión 3) funcionan de forma inherente, ya que suelen utilizar un servidor de aplicaciones integrado compatible, como Tomcat, Jetty o Netty.

Compatibilidad de marcos de red

dd-java-agent incluye compatibilidad para el rastreo automático de los siguientes marcos de red.

El rastreo de redes proporciona:

• Rastreo distribuido en tus aplicaciones
• Bloqueo basado en solicitudes

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• Si Runtime Code Analysis (IAST) no es compatible con tu marco, sigue detectando las vulnerabilidades Cifrado débil, Hashing débil, Cookie insegura, Cookie sin indicador HttpOnly, Cookie sin indicador SameSite, Falta encabezado HSTS y Falta encabezado X-Content-Type-Options.

Compatibilidad con almacenes de datos

dd-java-agent incluye compatibilidad para el rastreo automático de los siguientes marcos/controladores de bases de datos.

El rastreo de almacenes de datos proporciona:

• Temporización de la solicitud a la respuesta
• Información de consulta (por ejemplo, una cadena de consulta desinfectada)
• Captura de errores y stacktraces

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• La Protección frente a amenazas también funciona en la capa de solicitud HTTP (entrada), por lo que funciona para todas las bases de datos por defecto, incluso aquellas que no aparecen en la siguiente tabla.
• Si tu marco de trabajo no es compatible, Runtime Code Analysis (IAST) no detectará vulnerabilidades de inyección SQL, pero seguirá detectando el resto de tipos de vulnerabilidades mencionadas aquí.

dd-java-agent también es compatible con controladores JDBC comunes para la detección de amenazas, tales como:

• Derby Apache
• Firebird SQL
• Motor de base de datos H2
• HSQLDB
• IBM DB2
• MariaDB
• MSSQL (Microsoft SQL Server)
• MySQL
• Oracle
• Postgres SQL
• ScalikeJDBC

Compatibilidad con marcos de autenticación de usuarios

Las integraciones a los marcos de autenticación de usuarios proporcionan:

• Eventos de inicio de sesión de usuarios, incluidos los ID de usuarios
• Monitorización de la detección de la apropiación de cuentas para eventos de inicio de sesión de usuarios

Funciones de seguridad de las aplicaciones

Las siguientes funciones de seguridad de las aplicaciones son compatibles con la biblioteca .NET para la versión de rastreador especificada:

La versión mínima de rastreador para contar con todas las funciones de seguridad de las aplicaciones compatibles para .NET es v2.42.0.

Nota: La protección frente a amenazas requiere habilitar la configuración remota, que se incluye en la versión mínima de rastreador indicada.

Tipos de despliegue compatibles

Nota: Azure App Service es compatible sólo con aplicaciones web. La seguridad de las aplicaciones no es compatible con funciones Azure.

Compatibilidad con lenguajes y marcos

Versiones de .NET compatibles

Son compatibles con las siguientes arquitecturas:

• Linux (GNU) x86-64, ARM64
• Alpine Linux (musl) x86-64, ARM64
• macOS (Darwin) x86-64, ARM64
• Windows (msvc) x86, x86-64

Compatibilidad con marcos web

• Detalles de una solicitud HTTP originada por un atacante
• Etiquetas (tags) para la solicitud HTTP (código de estado, método, etc.)
• Rastreo distribuido para visualizar flujos (flows) de ataques en tus aplicaciones

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• Si tu marco de trabajo no se encuentra en la siguiente lista, Runtime Code Analysis (IAST) seguirá detectando vulnerabilidades de tipo Cookie insegura.

Compatibilidad con almacenes de datos

El rastreo de almacenes de datos proporciona:

• Detección de ataques SQL
• información de consulta (por ejemplo, una cadena de consulta desinfectada)
• captura de errores y stacktraces

Notas sobre la función de seguridad de las aplicaciones

• La Protección frente a amenazas también funciona en la capa de solicitud HTTP (entrada), por lo que funciona para todas las bases de datos por defecto, incluso aquellas que no aparecen en la siguiente tabla.

Compatibilidad con marcos de autenticación de usuarios

Las integraciones con marcos de autenticación de usuarios proporcionan:

• Eventos de inicio de sesión de usuarios, incluidos los ID de usuarios
• Eventos de inicio de sesión de usuarios (aplicaciones que utilizan SignInManager integrado)
• Monitorización de la detección de la apropiación de cuentas para eventos de inicio de sesión de usuarios

Funciones de seguridad de las aplicaciones

Las siguientes funciones de seguridad de las aplicaciones son compatibles con la biblioteca Node.js, para la versión de rastreador especificada:

La versión mínima del rastreador para obtener todas las funciones de seguridad de las aplicaciones compatibles con Node.js es la v4.30.0.

Nota:

• La protección frente a amenazas requiere habilitar la configuración remota, que se incluye en la versión mínima del rastreador indicada.

Tipos de despliegue compatibles

Compatibilidad con lenguajes y marcos

Compatibilidad con versiones de Node.js

Cuando el proyecto Node.js deja de ser compatible con una versión principal de LTS (cuando llega al fin de su ciclo de vida), también deja de ser compatible con la siguiente versión principal de dd-trace. La última versión principal de la biblioteca dd-trace es compatible con esa versión EOL de Node.js durante al menos otro año en modo de mantenimiento.

Algunos problemas no pueden solucionarse en dd-trace y deben solucionarse en Node.js. Cuando esto ocurre y la versión de Node.js en cuestión es EOL, no es posible solucionar el problema sin pasar a otra versión que no sea EOL. Datadog no ofrece nuevas versiones de dd-trace para ofrecer una compatibilidad específica para las líneas de versiones principales de Node.js que no son LTS (versiones impares).

Para obtener el mejor nivel de compatibilidad, ejecuta siempre la última versión LTS de Node.js y la última versión principal de dd-trace. Sea cual sea la versión de Node.js que utilices, utiliza también la última versión de Node.js en esa línea de versiones, para asegurarte de que dispones de las últimas correcciones de seguridad.

Para obtener más información sobre la versión de Node.js, consulta la documentación oficial de Node.js.

Compatibilidad con sistemas operativos

Los siguientes sistemas operativos son oficialmente compatibles con dd-trace. Es probable que cualquier sistema operativo que no aparezca en la lista funcione, pero con algunas características ausentes, por ejemplo, las funciones de seguridad de las aplicaciones, la generación de perfiles y las métricas de tiempo de ejecución. En general, son compatibles los sistemas operativos que se mantienen de forma activa en el momento del lanzamiento inicial de una versión principal.

Compatibilidad con marcos web

• Detalles de una solicitud HTTP originada por un atacante
• Etiquetas (tags) para la solicitud HTTP (código de estado, método, etc.)
• Rastreo distribuido para visualizar flujos (flows) de ataques en tus aplicaciones

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• Si tu marco no se encuentra en la siguiente lista, Runtime Code Analysis (IAST) sigue detectando vulnerabilidades de Cifrado débil, Hashing débil, Aleatoriedad débil, Cookie insegura, Cookie sin indicador HttpOnly, Cookie sin indicador SameSite, Falta encabezado HSTS y Falta encabezado X-Content-Type-Options.

Compatibilidad de marcos de red

El rastreo de redes proporciona:

• Rastreo distribuido en tus aplicaciones
• Bloqueo basado en solicitudes

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.

Compatibilidad con almacenes de datos

El rastreo de almacenes de datos proporciona:

• Temporización de la solicitud a la respuesta
• Información de consulta (por ejemplo, una cadena de consulta desinfectada)
• Captura de errores y stacktraces

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• La Protección frente a amenazas también funciona en la capa de solicitud HTTP (entrada), por lo que funciona para todas las bases de datos por defecto, incluso aquellas que no aparecen en la siguiente tabla.

Compatibilidad de los marcos de autenticación de usuarios

Las integraciones a los marcos de autenticación de usuarios proporcionan:

• Eventos de inicio de sesión de usuarios, incluidos los ID de usuarios
• Monitorización de la detección de la apropiación de cuentas para eventos de inicio de sesión de usuarios

Funciones de seguridad de las aplicaciones

Las siguientes funciones de seguridad de las aplicaciones son compatibles con la biblioteca Python para la versión de rastreador especificada:

Nota: La protección frente a amenazas requiere habilitar la configuración remota, que se incluye en la versión mínima de rastreador indicada.

Tipos de despliegue compatibles

Compatibilidad con lenguajes y marcos

Versiones compatibles de Python

La biblioteca cliente de APM de Python sigue una política de control de versiones en la cual se especifica el nivel de compatibilidad para las diferentes versiones de la biblioteca y el tiempo de ejecución de Python.

Se admiten dos ramificaciones de versiones:

Y la biblioteca es compatible con los siguientes tiempos de ejecución:

Compatibilidad con marcos web

• Detalles de una solicitud HTTP originada por un atacante
• Etiquetas (tags) para la solicitud HTTP (código de estado, método, etc.)
• Rastreo distribuido para visualizar flujos (flows) de ataques en tus aplicaciones

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.

Marcos compatibles

La compatibilidad de las cadenas de consulta no está disponible para Flask.

Compatibilidad con almacenes de datos

El rastreo de almacenes de datos proporciona:

• temporización de solicitud a respuesta
• información de consulta (por ejemplo, una cadena de consulta desinfectada)
• captura de errores y stacktraces

Notas sobre la función de seguridad de las aplicaciones

• El Análisis de la composición del software es compatible con todos los marcos.
• La Protección frente a amenazas también funciona en la capa de solicitud HTTP (entrada), por lo que funciona para todas las bases de datos por defecto, incluso aquellas que no aparecen en la siguiente tabla. La biblioteca Python es compatible con las especificaciones de API de bases de datos y admite todas las bases de datos SQL genéricas. Esto incluye bases de datos como SQLite, Mysql, Postgres y MariaDB.

Compatibilidad con marcos de autenticación de usuarios

Las integraciones a los marcos de autenticación de usuarios proporcionan:

• Eventos de inicio de sesión de usuarios, incluidos los ID de usuarios
• Monitorización de la detección de la apropiación de cuentas para eventos de inicio de sesión de usuarios