개요

Software Composition Analysis(SCA)는 npm과 같은 패키지 관리자를 통해 리포지토리로 가져온 오픈 소스 라이브러리를 검사하여 알려진 취약점을 찾아내고, 리포지토리 전체에서 사용되는 라이브러리의 카탈로그를 생성하여 위험한 라이선스, 지원 종료 라이브러리, 취약점을 식별함으로써 고품질의 안전한 코드베이스를 유지할 수 있도록 합니다.

SCA 검사는 Datadog을 통해 직접 실행하거나 CI 파이프라인에서 Code Analysis를 통해 실행하여 라이브러리 취약점이 프로덕션 환경에 적용되기 전에 탐지할 수 있습니다. Datadog은 Datadog Application Security를 통해 런타임 탐지 기능도 제공합니다.

Software Composition Analysis 설정

SCA는 다음 언어와 기술을 사용하는 라이브러리 검사를 지원합니다.

시작하려면 Code Analysis 페이지에서 Software Composition Analysis를 설정하거나 Setup 설명서를 참고하세요.

Lockfiles

SCA는 Lockfile에 포함된 라이브러리를 검사합니다. 지원되는 Lockfile은 다음과 같습니다:

소프트웨어 개발 라이프사이클에 Software Composition Analysis를 통합하세요

CI 제공업체

결과 검색 및 필터링

Datadog SCA를 실행하도록 CI 파이프라인을 구성하면 Code Analysis Repositories 페이지에서 리포지토리별 위반 사항이 요약됩니다. 리포지토리를 클릭하면 Software Composition Analysis 결과인 Library Vulnerabilities 및 Library Catalog를 분석할 수 있습니다.

• Library Vulnerabilities 탭에는 Datadog SCA에서 발견된 취약한 라이브러리 버전이 포함되어 있습니다.
• Library Catalog 탭에는 Datadog SCA에서 발견된 모든 라이브러리(취약 여부와 관계없이)가 포함되어 있습니다.

결과를 필터링하려면 목록 왼쪽의 패싯이나 상단의 검색 창을 사용하세요. 결과는 서비스 또는 팀 패싯별로 필터링할 수 있습니다. 결과가 Datadog 서비스 및 팀에 어떻게 연결되는지 알아보려면 Code Analysis 시작하기를 참고하세요.

각 행은 고유한 라이브러리 및 버전 조합을 나타냅니다. 각 조합은 페이지 상단의 필터에서 선택한 특정 커밋 및 브랜치와 연결됩니다(기본적으로, 선택한 리포지토리의 기본 브랜치에서 가장 최신 커밋을 기준으로 함).

취약점이 있는 라이브러리를 클릭하면 위반 범위와 발생 위치 정보가 포함된 사이드 패널이 열립니다.

위반 내용은 탭에 표시됩니다:

• 전체 설명: 라이브러리의 특정 버전의 취약점에 관한 설명입니다.
• 이벤트: SCA 위반 사항 이벤트와 관련된 JSON 메타데이터입니다.

참고 자료

추가 유용한 문서, 링크 및 기사:

소프트웨어 구성 요소 분석으로 프로덕션 환경의 애플리케이션 보안 강화블로그 Datadog SCA로 취약성 해결 우선 순위 지정하기블로그 소프트웨어 구성 요소 분석 시작하기설명서 소프트웨어 구성 요소 분석에 대해 알아보기설명서 소스 코드 통합에 대해 알아보기설명서