概要

Software Composition Analysis (SCA) は、npm などのパッケージマネージャーを通じてリポジトリにインポートされたオープンソースライブラリをスキャンし、既知の脆弱性を検出します。また、リポジトリ全体で使用されているライブラリのカタログを作成し、リスクのあるライセンスやサポート終了のライブラリ、脆弱性を特定することで、高品質で安全なコードベースを確保します。

SCA スキャンは、Datadog から直接実行するか、Code Analysis を使用して CI パイプラインで実行でき、本番環境に到達する前にライブラリの脆弱性を検出します。Datadog はまた、Datadog Application Security を介してランタイムでの検出も提供しています。

Software Composition Analysis のセットアップ

SCA は、以下の言語および技術におけるライブラリのスキャンをサポートしています。

まず、Code Analysis ページで Software Composition Analysis をセットアップするか、セットアップドキュメントをご覧ください。

ロックファイル

SCA はロックファイルに含まれるライブラリをスキャンします。以下のロックファイルがサポートされています。

Software Composition Analysis をソフトウェア開発ライフサイクルに統合

CI プロバイダー

検索結果のフィルタリング

Datadog SCA を実行するように CI パイプラインを構成すると、Code Analysis Repositories ページでリポジトリごとに違反内容が要約されます。リポジトリをクリックすると、Software Composition Analysis による Library Vulnerabilities と Library Catalog の結果を分析できます。

• Library Vulnerabilities タブには、Datadog SCA によって検出された脆弱なライブラリのバージョンが表示されます。
• Library Catalog タブには、Datadog SCA によって検出されたすべてのライブラリ (脆弱性の有無に関わらず) が表示されます。

結果を絞り込むには、リストの左側にあるファセットまたは上部の検索バーを使用します。結果はサービスやチームのファセットでフィルタリングできます。結果が Datadog のサービスやチームにどのように関連付けられるかの詳細は、Code Analysis の概要を参照してください。

各行は、一意のライブラリとバージョンの組み合わせを表します。各組み合わせは、ページ上部のフィルターで選択された特定のコミットとブランチに関連付けられています (デフォルトでは、選択したリポジトリのデフォルトブランチの最新コミットが表示されます)。

脆弱性があるライブラリをクリックすると、違反の範囲と発生場所に関する情報を含むサイドパネルが開きます。

違反の内容は以下のタブで表示されます。

• Full Description: この特定のライブラリバージョンに含まれる脆弱性の説明。
• Event: SCA 違反イベントに関する JSON メタデータ。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Software Composition Analysis によって、本番環境でのアプリケーションセキュリティを強化するブログ Datadog SCA を使用した脆弱性修正の優先順位付けブログ Software Composition Analysis を始めるドキュメント Software Composition Analysis についてドキュメント ソースコードインテグレーションについてドキュメント