GitHub Action 워크플로에서 Datadog Software Composition Analysis 작업을 실행합니다. 코드베이스에서 Datadog osv-scanner를 실행한 후 결과를 Datadog에 업로드합니다.

라이브러리 인벤토리 생성

GitHub Action은 리포지토리에 선언된 라이브러리를 기반으로 라이브러리 인벤토리를 자동으로 생성합니다.

GitHub Action은 다음 언어와 파일에서 동작합니다.

• JavaScript/TypeScript: package-lock.json 및 yarn.lock
• Python: requirements.txt (버전이 정의된 경우) 및 poetry.lock
• Java: pom.xml
• C#
• 루비(Ruby)
• 및 기타 언어([설명서]에 명시됨)(https://docs.datadoghq.com/code_analysis/software_composition_analysis/))

설정

키 설정

GitHub Actions Settings에서 DD_APP_KEY 및 DD_API_KEY를 시크릿으로 추가합니다. Datadog 애플리케이션 키에 code_analysis_read 권한이 있는지 확인하세요. 자세한 내용은 API 및 애플리케이션 키를 참조하세요.

워크플로

.github/workflows/datadog-sca.yml에 다음 코드 스니펫을 추가합니다. 반드시 dd_site 속성을 사용 중인 Datadog 사이트로 변경해야 합니다.

on: [push]

name: Datadog Software Composition Analysis

jobs:
  software-composition-analysis:
    runs-on: ubuntu-latest
    name: Datadog SBOM Generation and Upload
    steps:
    - name: Checkout
      uses: actions/checkout@v3
    - name: Check imported libraries are secure and compliant
      id: datadog-software-composition-analysis
      uses: DataDog/datadog-sca-github-action@main
      with:
        dd_api_key: ${{ secrets.DD_API_KEY }}
        dd_app_key: ${{ secrets.DD_APP_KEY }}
        dd_site: "datadoghq.com"

관련 Datadog 툴

Datadog Static Analysis는 코드를 분석하고 IDE, GitHub PR 또는 Datadog 환경 내에서 피드백을 제공합니다. Datadog Static Analysis는 datadog-static-analyzer-github-action GitHub Action을 사용하여 설정할 수 있습니다.

참고 자료

기타 유용한 문서, 링크 및 기사:

• Software Composition Analysis에 대해 알아보기