Software Composition Analysis

選択した Datadog サイト () では Application Security Management はサポートされていません。

概要

Datadog Software Composition Analysis (SCA) は、オープンソースを自信を持って活用できるようにサポートします。SCA の機能には、脆弱性の検出、ビジネスリスク (ライブラリのインベントリとライセンス情報)、サービス内のオープンソースライブラリの品質評価などがあります。Datadog SCA を特徴付ける主要な差別化要因は、開発者がコミットするコードから、既に Datadog デプロイメントで実行中の本番アプリケーションに至るまで、ソフトウェア開発ライフサイクル全体をエンドツーエンドでカバーすることです。

ASM の互換性を確認し、ご利用のサービスが対応しているかどうかをご確認ください。

ライブラリインベントリ

Datadog SCA ライブラリインベントリは、アプリケーションを構成するライブラリとそのバージョンのリストを把握するのに役立ちます。ライブラリエクスプローラー にアクセスするには、Security > Application Security > Catalog > Library Explorer に移動します。

Datadog SCA がソフトウェア開発ライフサイクルを始めから終わりまでカバーしているため、アプリケーションのライフサイクル全体にわたってライブラリが検出されます。ライブラリインベントリには、ライブラリの名前やバージョン、さらにライセンスや品質といったリスク要因に関する必要なすべての情報が含まれています。

ライブラリの脆弱性をライブラリごとに分類して表示している Software Composition Analysis (SCA) のライブラリエクスプローラーページ。

SCA の脆弱性の調査と管理

Vulnerability Explorer は、Datadog SCA が検出したオープンソースライブラリの完全なリストを表示し、それらに関連するセキュリティ脆弱性をレポートします。Datadog SCA は、サービスを分析するために、リポジトリの静的コード分析 (静的視点) と、デプロイされたサービスのランタイム分析 (ランタイム視点) という 2 つの手法を活用します。この 2 つの技術を組み合わせることで、オープンソースライブラリは、リポジトリへのコードコミット (静的視点) から本番環境で実行されるアプリケーション (ランタイム視点) まで、エンドツーエンドで監視されます。

コードリポジトリのコミット視点に切り替えるには、Static ボタンをクリックします。静的ビューでは、リポジトリ内の_ソースコード_からの脆弱性が表示されます。すでに実行中のアプリケーションの_リアルタイム_視点に切り替えるには、Runtime ボタンをクリックします。ランタイムビューは、Datadog によって監視されているサービスのライブビューです。

脆弱性を静的またはランタイムでソートして表示している Software Composition Analysis (SCA) エクスプローラーページ。

特定の脆弱性を選択すると、影響を受けるサービス、重大度の内訳スコア、推奨される修復ステップなどの詳細を確認できます。Details Explorer では、影響を受けるインフラストラクチャーを表示し、全体的な攻撃エクスポー ジャーをより深く理解することもできます。

ASM 内では、脆弱性の重大度は、攻撃の有無や脆弱性が検出された環境のビジネス上の機密性を考慮し、基本スコアから修正されます。例えば、本番環境が検出されない場合は、重大度が軽減されます。

調整後の脆弱性スコアは、各サービスの完全なコンテキストを含んでいます。

  • 元の脆弱性の重大度
  • 不審なリクエストの証拠
  • 機密性の高い環境、インターネットに接続された環境
変更された重大度スコアを表示する脆弱性詳細ページ

調整後の脆弱性スコアの詳細については、Software Composition Analysis を始めるを参照してください。

修復

Vulnerability Explorerでは検出された脆弱性に対する改善勧告が表示され、脆弱性のステータスを変更したり、チームメンバーに割り当てて検討させたり、追跡のために Jira 課題を作成したりすることができます。また、各脆弱性の背景を理解するのに役立つ Web サイトや情報源へのリンクやリファレンスのコレクションも含まれています。

: SCA の脆弱性の Jira 課題を作成するには、Jira インテグレーションを構成し、 manage_integrations 権限を持っている必要があります。詳細な手順については、Jira インテグレーションのドキュメント、およびロールベースのアクセス制御のドキュメントを参照してください。

Application Vulnerability Management の脆弱性の詳細ページでは、影響を受けるサービス、インフラストラクチャーへのリンク、推奨される改善策、および詳細情報へのリンクが表示されます。

Code Analysis の構成

ベータ版をお試しください!

Code Analysis は公開ベータ版です。

Software Composition Analysis には、Code Analysis を使って CI パイプラインの脆弱性をスキャンできる機能が追加されています。SCA for Code Analysis を使えば、コードベースにインポートされた脆弱なオープンソースライブラリを特定することができます。

CI パイプラインで脆弱性を構成するには、Security -> Configuration -> Application Security -> Setup に移動します。 Get Started をクリックして、ソースコードの Static Analysis のための Software Composition Analysis を有効にし、CI/CD プロバイダを選択して構成します。

より詳細な手順については、Software Composition Analysis を始めるを参照してください。

CI セットアップを示す Software Composition Analysis のセットアップページ。

APM ビューにおけるリスク情報

Software Composition Analysis は、APM がすでに収集している情報をリッチ化し、現在の脆弱性勧告と一致するライブラリにフラグを立てます。潜在的に脆弱なサービスは、APM サービスカタログに組み込まれた Security ビューで直接ハイライト表示されます。

APM サービスカタログに表示される脆弱性情報

その他の参考資料

お役に立つドキュメント、リンクや記事:

Software Composition Analysis を始めるガイド more more Datadog Software Composition Analysis でサードパーティライブラリの脆弱性を軽減するブログ more more Application Vulnerability Management で本番環境のアプリケーションセキュリティを強化するブログ more more サービスのコードセキュリティ脆弱性検出を有効にするドキュメント more more CI パイプラインで Software Composition Analysis をセットアップするドキュメント more more