Datadog SCA でオープンソースのリスク低減を自動化する

Datadog Software Composition Analysis (SCA) を使用すると、リポジトリやアプリケーションサービスで使用されているサードパーティのオープンソースソフトウェア (OSS) ライブラリに存在する脆弱性やその他のリスクを特定し、優先順位を付けて修正できます。

このトピックでは、SCA を使用してオープンソースライブラリの脆弱性とリスクを表示し、解決する方法について説明します。

SCA のメリット

SCA は、オープンソースライブラリに関連する以下のリスクに対処します。

Datadog SCA は、リスク低減プロセスの自動化を助け、以下の方法で生産性を向上させます。

開発ライフサイクル全体での統合: 開発から本番まで、オープンソースおよびサードパーティのコンポーネントを分析し、詳細なライブラリインベントリを提供します。
継続的な評価: デプロイされたサービスをリアルタイムで可視化し、機密性の高い環境内の脆弱性を優先することで、セキュリティポスチャを強化します。
コラボレーション: サイロ化を打破し、より多くのチーム (DevOps、運用、SRE) をセキュリティに関与させて、コラボレーションの文化を醸成します。

ライブラリインベントリでは、すべてのサービスとリポジトリで使用されているライブラリとそのバージョンが表示されます。

このインベントリでは、複数の公開データソース (GuardDog、NIST、osv.dev、OpenSSF スコアなど) と非公開データソース (Datadog の Security Research グループなど) を参照して、ライブラリの詳細を提示します。

ライブラリインベントリを使用するには、ライブラリを参照するか、Security > Code Security を選択し、続いて Libraries を選択します。

Libraries では次のことができます。

Vulnerabilities エクスプローラーでは、使用しているライブラリの脆弱性を表示できます。

ライブラリの脆弱性とは、ライブラリに存在するセキュリティバグのことです。

ライブラリの脆弱性を確認するには、ライブラリの脆弱性を参照するか、Security > Code Security > Vulnerabilities > Libraries に移動します。

Libraries では次のことができます。

Libraries を使用して、さまざまな脆弱性の種類を表示できます。
- たとえば、脆弱性にはすべて CVE ID が関連付けられており、エクスプローラーおよび各ライブラリの詳細に表示されます。Vulnerability ファセットを使用すれば、CVE ID で並べ替えを行うことができます。
以下のような脆弱性の詳細を確認する。
- 説明
- サービスと環境
- 最初と最後の検出
- 露出期間
- 重大性の内訳
- 修復ステップ

リスクを軽減するために、以下のベストプラクティスに従ってください。