Datadog SCA でオープンソースのリスク低減を自動化する
This product is not supported for your selected
Datadog site. (
).
Datadog Software Composition Analysis (SCA) を使用すると、リポジトリやアプリケーション サービスで使用されているサード パーティのオープン ソース ソフトウェア (OSS) ライブラリに存在する脆弱性やその他のリスクを特定し、優先順位を付けて修正できます。
このトピックでは、SCA を使用してオープンソースライブラリの脆弱性とリスクを表示し、解決する方法について説明します。
SCA のメリット
SCA は、オープンソースライブラリに関連する以下のリスクに対処します。
- セキュリティの脆弱性: 既知の脆弱性、特に CVE (共通脆弱性識別子) を持つ脆弱性。
- マルウェア: マルウェアを配布するために、タイポスクワッティングやハイジャックのような手法を用いる悪意のある行為者。
- ライセンスの問題: 多岐にわたるオープンソースライセンスの不遵守は、法的問題につながる可能性があります。
- 非推奨のライブラリ: 古いコンポーネントを使用すると、パッチが適用されていない脆弱性や互換性の問題が発生する可能性があります。
- ライブラリのメンテナンス不足: 積極的な開発の欠如が、未解決のバグやセキュリティ上の欠陥につながる可能性があります。
- セキュリティ衛生状態の悪さ: プロジェクトによっては、適切なコードレビューなど、セキュリティのベストプラクティスが導入されていません。
Datadog SCA は、リスク低減プロセスの自動化を助け、以下の方法で生産性を向上させます。
- 開発ライフ サイクル全体での統合: 開発から本番まで、オープン ソースおよびサード パーティのコンポーネントを分析し、詳細なライブラリ インベントリを提供します。
- 継続的な評価: デプロイされたサービスをリアルタイムで可視化し、機密性の高い環境内の脆弱性を優先することで、セキュリティポスチャを強化します。
- コラボレーション: サイロ化を打破し、より多くのチーム (DevOps、運用、SRE) をセキュリティに関与させて、コラボレーションの文化を醸成します。
サービス内で使用されているライブラリの確認
ライブラリ インベントリでは、すべてのサービスとリポジトリで使用されているライブラリとそのバージョンが表示されます。
このインベントリでは、複数の公開データ ソース (GuardDog、NIST、osv.dev、OpenSSF スコアなど) と非公開データ ソース (Datadog の Security Research グループなど) を参照して、ライブラリの詳細を提示します。
ライブラリ インベントリを使用するには、ライブラリ を参照するか、Security > Code Security を選択し、続いて Libraries を選択します。
Libraries では次のことができます。
- 各サービス内で使用されているすべてのライブラリを確認する。
- Datadog Severity ファセットを使用して、脆弱性の重大度に基づいてライブラリを絞り込めます。
- 各ライブラリのソースリポジトリを表示する。
- サービスで使用されている現在のバージョンや利用可能な最新バージョンなど、ライブラリの詳細を確認する。
- ライブラリの OpenSSF スコアカードを表示する。
ライブラリ内の脆弱性とリスクの確認
Vulnerabilities エクスプローラーでは、使用しているライブラリの脆弱性を表示できます。
ライブラリの脆弱性
ライブラリの脆弱性とは、ライブラリに存在するセキュリティバグのことです。
ライブラリの脆弱性を確認するには、ライブラリの脆弱性を参照するか、Security > Code Security > Vulnerabilities > Libraries に移動します。
Libraries では次のことができます。
- Libraries を使用して、さまざまな脆弱性の種類を表示できます。
- たとえば、脆弱性にはすべて CVE ID が関連付けられており、エクスプローラーおよび各ライブラリの詳細に表示されます。Vulnerability ファセットを使用すれば、CVE ID で並べ替えを行うことができます。
- 以下のような脆弱性の詳細を確認する。
- 説明
- サービスと環境
- 最初と最後の検出
- 露出期間
- 重大性の内訳
- 修復ステップ
リスクを軽減するためのベストプラクティス
リスクを軽減するために、以下のベストプラクティスに従ってください。
- デューデリジェンス: オープンソースプロジェクトは、使用前に十分に評価すること。
- 最新情報を入手: 定期的にコンポーネントを更新し、セキュリティ勧告を受信する。
- 脆弱性の管理 脆弱性のトリアージと修復のプロセスを確立する。
- 測定: メトリクスを追跡し、時間をかけてセキュリティポスチャを理解し、改善する。