Información general

Datadog Code Security identifica las vulnerabilidades a nivel de código en tus servicios y proporciona información práctica y correcciones recomendadas.

Para consultar la lista de servicios compatibles, consulta los requisitos de compatibilidad de la biblioteca.

Code Security utiliza el enfoque de Pruebas interactivas de seguridad de aplicaciones (IAST) para encontrar vulnerabilidades en el código de tu aplicación. IAST utiliza la instrumentación incorporada en tu código como la monitorización del rendimiento de las aplicaciones (APM).

Code Security también monitoriza las interacciones de tu código con otros componentes de tu stack tecnológico, como bibliotecas e infraestructuras.

IAST permite a Datadog identificar vulnerabilidades utilizando tráfico legítimo de aplicaciones, en lugar de depender de tests externos que podrían requerir una configuración adicional o una programación periódica.

La monitorización de la aplicación en tiempo de ejecución de Code Security proporciona una vista actualizada de tu superficie de ataque, lo que te permite identificar rápidamente posibles problemas.

Lista de vulnerabilidades a nivel de código

Las reglas de detección de Code Security admiten los siguientes lenguajes.

GravedadRegla de detecciónJava.NETNode.jsPython
CríticaInyección NoSQLFALSOVERDADEROVERDADEROFALSO
CríticaInyección SQLVERDADEROVERDADEROVERDADEROVERDADERO
CríticaFalsificación de solicitudes del lado del servidor (SSRF)VERDADEROVERDADEROVERDADEROVERDADERO
CríticaInyección de comandosVERDADEROVERDADEROVERDADEROVERDADERO
ElevadaInyección LDAPVERDADEROVERDADEROVERDADEROFALSO
ElevadaSecretos codificadosVERDADEROVERDADEROVERDADEROFALSO
ElevadaContraseñas codificadasFALSOFALSOVERDADEROFALSO
ElevadaRecorrido de la rutaVERDADEROVERDADEROVERDADEROVERDADERO
ElevadaViolación de los límites de confianzaVERDADEROVERDADEROFALSOFALSO
ElevadaCross-Site Scripting (XSS)VERDADEROVERDADEROFALSOFALSO
ElevadaRedirección no validadaVERDADEROVERDADEROVERDADEROFALSO
ElevadaInyección XPathVERDADEROVERDADEROFALSOFALSO
ElevadaInyección de cabecerasVERDADEROVERDADEROVERDADEROVERDADERO
ElevadaFuga en la lista de directoriosVERDADEROFALSOFALSOFALSO
ElevadaEscape HTML por defecto no válidoVERDADEROFALSOFALSOFALSO
ElevadaVerb TamperingVERDADEROFALSOFALSOFALSO
MediaCookie no SameSiteVERDADEROVERDADEROVERDADEROVERDADERO
MediaCookie inseguraVERDADEROVERDADEROVERDADEROVERDADERO
MediaCookie no HttpOnlyVERDADEROVERDADEROVERDADEROVERDADERO
MediaHashing débilVERDADEROVERDADEROVERDADEROVERDADERO
MediaCifrado débilVERDADEROVERDADEROVERDADEROVERDADERO
MediaFuga de stacktracesVERDADEROVERDADEROFALSOFALSO
MediaInyección de reflexiónVERDADEROVERDADEROFALSOFALSO
MediaProtocolo de autenticación inseguroVERDADEROVERDADEROFALSOFALSO
MediaClave codificadaFALSOVERDADEROFALSOFALSO
MediaDiseño JSP inseguroVERDADEROFALSOFALSOFALSO
BajaCabecera HSTS faltanteVERDADEROVERDADEROVERDADEROFALSO
BajaCabecera de X-Content-Type-Options faltanteVERDADEROVERDADEROVERDADEROFALSO
BajaAleatoriedad débilVERDADEROVERDADEROVERDADEROVERDADERO
BajaConsola de administración activaVERDADEROFALSOFALSOFALSO
BajaTiempo de espera de la sesiónVERDADEROFALSOFALSOFALSO
BajaReescritura de sesionesVERDADEROFALSOFALSOFALSO

Exploración y gestión de las vulnerabilidades del código

El Explorador de vulnerabilidades utiliza datos sobre amenazas en tiempo real para ayudarte a comprender las vulnerabilidades que ponen en peligro tu sistema. Las vulnerabilidades se ordenan por gravedad.

Code Security en el Explorador de vulnerabilidades

Para clasificar las vulnerabilidades, cada una de ellas contiene una breve descripción del problema, que incluye:

  • Servicios afectados.
  • Tipo de vulnerabilidad.
  • Primera detección.
  • El archivo exacto y el número de línea donde se ha encontrado la vulnerabilidad.
Detalles de las vulnerabilidades en Code Security

Cada detalle de vulnerabilidad incluye una puntuación de riesgo (consulta la siguiente captura de pantalla) y una clasificación de gravedad: crítica, alta, media o baja.

La puntuación del riesgo se adapta al contexto específico del tiempo de ejecución, incluidos factores como dónde se despliega la vulnerabilidad y si el servicio es blanco de ataques activos.

Prioridad de las vulnerabilidades en Code Security

Corrrección

Datadog Code Security proporciona automáticamente la información que los equipos necesitan para identificar dónde se encuentra una vulnerabilidad en una aplicación, desde el nombre del archivo afectado hasta el método y el número de línea exactos.

Corrección de las vulnerabilidades en Code Security

Cuando la integración GitHub está habilitada, la seguridad del código muestra la primera versión afectada de un servicio, la confirmación que ha generado la vulnerabilidad y un fragmento del código vulnerable. Esta información permite a los equipos saber dónde y cuándo se ha producido una vulnerabilidad y les ayuda a definir prioridades en su trabajo.

Fragmento del código vulnerable

Para cada vulnerabilidad detectada se ofrecen pasos detallados para su corrección.

Recomendaciones para la corrección

Las recomendaciones permiten cambiar el estado de una vulnerabilidad, asignarla a un miembro del equipo para su revisión y crear una incidencia en Jira para su seguimiento.

Crear un ticket de Jira a partir de una vulnerabilidad

Nota: Para crear incidencias sobre vulnerabilidades en Jira, debes configurar la integración Jira y tener el permiso manage_integrations. Para obtener instrucciones detalladas, consulta la documentación de la integración Jira y la documentación Control del acceso basado en roles.

Para habilitar Code Security

Para habilitar Code Security, puedes utilizar la instrumentación en un solo paso o configurar la biblioteca de rastreo de Datadog. Para encontrar instrucciones detalladas para ambos métodos, consulta la sección Seguridad > Seguridad de aplicaciones > Parámetros.

Si necesitas más ayuda, ponte en contacto con el servicio de asistencia de Datadog.

Referencias adicionales

PREVIEWING: mervebolat/span-id-preprocessing