Software Composition Analysis (SCA)
Rejoignez la version Preview !
Software Composition Analysis est en avant-première.
Code Analysis n'est pas disponible pour le site .
Présentation
Software Composition Analysis (SCA) analyse les bibliothèques open source importées dans les référentiels via des gestionnaires de paquets tels que npm pour détecter les vulnérabilités connues, et crée un catalogue de bibliothèques utilisées dans vos référentiels qui identifie les licences à risque, les bibliothèques en fin de vie et les vulnérabilités pour garantir une base de code sécurisée et de haute qualité.
Les analyses SCA peuvent être exécutées directement via Datadog ou dans vos pipelines CI à l’aide de Code Analysis pour détecter les vulnérabilités de bibliothèque avant qu’elles n’atteignent la production. Datadog propose également la détection au runtime via Datadog Application Security.
SCA prend en charge l’analyse des bibliothèques dans les langages et technologies suivants :
Pour commencer, configurez Software Composition Analysis sur la page Code Analysis ou consultez la documentation de configuration.
Fichiers de verrouillage
SCA analyse les bibliothèques contenues dans vos fichiers de verrouillage. Les fichiers de verrouillage suivants sont pris en charge
:
| Gestionnaire de paquets | Fichier de verrouillage |
|---|
| C# (.NET) | packages.lock.json |
| Go (mod) | go.mod |
| JVM (Gradle) | gradle.lockfile |
| JVM (Maven) | pom.xml |
| Node.js (npm) | package-lock.json |
| Node.js (pnpm) | pnpm-lock.yaml |
| Node.js (yarn) | yarn.lock |
| PHP (composer) | composer.lock |
| Python (pip) | requirements.txt, Pipfile.lock |
| Python (poetry) | poetry.lock |
| Ruby (bundler) | Gemfile.lock |
Intégrer Software Composition Analysis dans votre cycle de développement logiciel
Fournisseurs CI
Vous pouvez exécuter SCA sur n'importe quel fournisseur de plateforme CI de votre choix. Consulter la documentation spécifique au fournisseur pour configurer SCA dans vos pipelines CI :
Rechercher et filtrer les résultats
Datadog Software Composition Analysis peut détecter les bibliothèques vulnérables tout au long du cycle de développement logiciel (SDLC). Code Analysis résume les résultats trouvés en analysant directement vos référentiels. Pour afficher toutes les vulnérabilités détectées dans les référentiels et au runtime consolidées ensemble, consultez
Application Security pour plus de détails.
Après avoir configuré vos pipelines CI pour exécuter Datadog SCA, les violations sont résumées par référentiel sur la page Code Analysis Repositories. Cliquez sur un référentiel pour analyser les résultats Library Vulnerabilities et Library Catalog de Software Composition Analysis.
- L’onglet Library Vulnerabilities contient les versions de bibliothèque vulnérables détectées par Datadog SCA.
- L’onglet Library Catalog contient toutes les bibliothèques (vulnérables ou non) détectées par Datadog SCA.
Pour filtrer vos résultats, utilisez les facettes à gauche de la liste ou la barre de recherche en haut. Les résultats peuvent être filtrés par facettes de service ou d’équipe. Pour en savoir plus sur la façon dont les résultats sont liés aux services et équipes Datadog, consultez la section Débuter avec Code Analysis.
Chaque ligne représente une combinaison unique de bibliothèque et de version. Chaque combinaison est associée au commit et à la branche spécifiques sélectionnés dans les filtres en haut de la page (par défaut, le dernier commit sur la branche par défaut du référentiel que vous avez sélectionné).
Cliquez sur une bibliothèque présentant une vulnérabilité pour ouvrir un volet latéral contenant des informations sur la portée de la violation et son origine.
Le contenu de la violation est réparti dans plusieurs onglets :
- Full Description : une description de la vulnérabilité contenue dans cette version spécifique de la bibliothèque.
- Event : métadonnées JSON concernant l’événement de violation SCA.
Pour aller plus loin
Documentation, liens et articles supplémentaires utiles:
