Application Vulnerability Management

La solution Application Security Management n'est pas pries en charge pour le site Datadog que vous avez sélectionné ().

Présentation

La solution Application Vulnerability Management intègre des fonctionnalités de détection qui vous informent des vulnérabilités détectées au sein des dépendances open source de vos services. Le Vulnerability Explorer fournit des informations plus détaillées, comme le niveau de gravité de la vulnérabilité, les services affectés, l’infrastructure potentiellement vulnérable, ainsi que des instructions de remédiation pour résoudre les problèmes détectés.

Consultez la documentation relative à la compatibilité d’ASM pour découvrir si votre service est pris en charge.

Explorer les vulnérabilités

Le Vulnerability Explorer affiche la liste exhaustive de toutes les vulnérabilités détectées par Application Vulnerability Management sur l’ensemble de vos services, classe les vulnérabilités selon leur niveau de gravité, et intègre des fonctionnalités de filtrage et de regroupement afin que vous puissiez étudier les problèmes et les prioriser. Pour les vulnérabilités open source, cette vue indique le nombre de services affectés, le langage de la bibliothèque affectée et la dernière fois que la vulnérabilité a été détectée.

Page de l'Explorer d'Application Vulnerability Management.

Sélectionnez une vulnérabilité spécifique pour obtenir des détails, notamment les services affectés, le score détaillé du niveau de gravité, ainsi que les étapes de remédiation recommandées. Sur la page des détails, vous pouvez également consulter l’infrastructure affectée pour avoir une meilleure idée de votre risque d’exposition globale à des attaques.

Au sein d’ASM, le niveau de gravité d’une vulnérabilité diffère du score, car il tient compte de la présence d’attaques ainsi que de la sensibilité de l’environnement professionnel au sein duquel la vulnérabilité est détectée. Par exemple, si aucun environnement de production n’est détecté, le niveau de gravité sera moindre.

Le score ajusté de la vulnérabilité comprend l’intégralité du contexte de chaque service :

  • Le niveau de gravité initial de la vulnérabilité
  • Les preuves de requêtes suspectes
  • Les environnements sensibles ou en ligne
Page de détails des vulnérabilités, avec un score de gravité modifié

Consultez la section Débuter avec Application Vulnerability Management pour en savoir plus sur le score de vulnérabilité ajusté.

Remédiation

L’Explorer propose également des recommandations en matière de remédiation pour les vulnérabilités détectées. Celles-ci vous permettent de modifier le statut d’une vulnérabilité et de l’assigner à un membre de l’équipe afin d’en effectuer un examen plus approfondi. Cette vue contient également un ensemble de liens et de références vers des sites web ou des sources d’information susceptibles de vous aider à mieux comprendre le contexte de chaque vulnérabilité.

Page de détails des vulnérabilités d'Application Vulnerability Management, avec les services affectés, des liens vers l'infrastructure, des recommandations en matière de remédiation, ainsi que des liens pour obtenir des informations complémentaires.

Gérer les vulnérabilités open source

Application Vulnerability Management détecte les bibliothèques open source utilisées par votre application lors de son exécution et signale les vulnérabilités de sécurité associées à celles-ci. Pour ce faire, la solution combine différentes sources de données de vulnérabilité liées aux bibliothèques logicielles open source aux données recueillies par l’équipe de recherche en matière de sécurité de Datadog. Datadog n’analyse pas votre code source : cette fonctionnalité se base sur la façon dont votre application se comporte lors de son exécution.

Gérer les vulnérabilités au niveau du code

La détection des vulnérabilités au niveau du code par Application Vulnerability Management est disponible en version bêta. Si vous souhaitez en tirer profit pour votre service, suivez les instructions de configuration.

Datadog est capable d’indiquer l’endroit où se trouve la vulnérabilité (nom de fichier et numéro de ligne), sans avoir à analyser le code source.

Voici les types de vulnérabilités au niveau du code pouvant être détectées :

  • Chiffrement faible
  • Hash faible
  • Injection SQL
  • Traversée de chemin (path traversal)
  • Injection LDAP
  • Injection de commande
  • Falsification de requête côté serveur (SSRF)
  • Cookie non sécurisé
  • Cookie sans le flag HttpOnly
  • Cookie sans le flag SameSite
  • Redirection non validée

Désactiver la fonctionnalité de détection des vulnérabilités au niveau du code

Pour désactiver la fonctionnalité de détection des vulnérabilités au niveau du code dans Vulnerability Management, supprimez la variable d’environnement DD_IAST_ENABLED=true de la configuration de votre application. Redémarrez ensuite votre service.

Si vous avez besoin d’aide supplémentaire, contactez l’assistance Datadog.

Informations sur les risques dans les vues APM

Application Vulnerability Management enrichit les informations déjà recueillies par APM et signale les bibliothèques concernées par les alertes actuelles en matière de vulnérabilité. Les services potentiellement vulnérables sont directement mis en évidence dans les vues de sécurité intégrées au catalogue des services d’APM.

Informations de vulnérabilité figurant dans le catalogue des services d'APM

Pour aller plus loin

Documentation, liens et articles supplémentaires utiles:

Fonctionnement d'Application Security dans DatadogDOCUMENTATION more more Activer Application Security sur vos servicesDOCUMENTATION more more Débuter avec Application Vulnerability ManagementGUIDE more more Renforcer la sécurité des applications en production avec la solution Application Vulnerability Management de DatadogBLOG more more