Datadog Fortalece Defesa Contra Pacotes Maliciosos com GuardDog 3.0
Aprofundamento CEVIU
Aprofundamento
O GuardDog 3.0 da Datadog chega como uma resposta robusta à crescente necessidade de segurança na cadeia de suprimentos de software. A Datadog redesenhou seu scanner de código aberto para pacotes PyPI e npm, trocando o Semgrep pelas regras YARA executadas via yara-python. Essa mudança representa um ganho substancial em velocidade e eficiência de memória, problemas que o Semgrep apresentava em varreduras de grande escala.
A grande inovação é o motor de risco aprimorado. Ele correlaciona capacidades e indicadores de ameaça ao longo do ciclo de ataque, atribuindo uma pontuação de risco de 0 a 10. Isso permite ao GuardDog identificar de forma mais precisa e contextualizada a maliciosidade de um pacote, superando a abordagem anterior de apenas sinalizar cada correspondência de regra isoladamente. Além disso, a execução das varreduras em um sandbox Nono restringe o acesso ao sistema de arquivos e rede, protegendo o próprio scanner contra tentativas de exploração por pacotes maliciosos.
O que mudou
A atualização do GuardDog 3.0 é um salto técnico em relação à versão 2.0. Antes, o GuardDog 2.0 dependia do Semgrep para heurísticas e exibia achados sem priorização ou correlação, tratando cada regra como um sinal fraco. O GuardDog 3.0 abandona o Semgrep em favor das regras YARA, que são mais eficientes. Agora, ele usa um motor de risco que combina regras de capacidade e indicadores de ameaça, correlacionando-os para gerar uma pontuação de maliciosidade de 0 a 10, algo ausente na versão anterior.
Outra mudança fundamental é a introdução do sandbox Nono. Enquanto o GuardDog 2.0 não tinha essa camada de proteção, a nova versão isola o processo de varredura, impedindo que pacotes maliciosos explorem o próprio scanner. Isso aumenta a resiliência da ferramenta. Embora o GuardDog 2.0 já tivesse introduzido a varredura YARA, na versão 3.0 ela se tornou o motor principal, substituindo o Semgrep e sendo executada de forma mais otimizada via yara-python.
Por que isso importa
A segurança da cadeia de suprimentos de software é um ponto crítico para qualquer desenvolvedor ou empresa que usa pacotes de código aberto. Com ataques cada vez mais sofisticados, ferramentas como o GuardDog 3.0 são essenciais para proteger ambientes de desenvolvimento e produção. A precisão de 89,2% e o recall de 88,3% mostram que a ferramenta é eficaz em identificar ameaças.
A capacidade de varrer pacotes de forma mais rápida e segura, sem comprometer o scanner, eleva o nível de confiança na integridade do software consumido. Isso é vital para as equipes de DevSecOps, que ganham um aliado mais inteligente e resiliente na detecção proativa de código malicioso. A tendência de fortalecer a segurança em gerenciadores de pacotes, como visto com o uv audit que o CEVIU noticiou em junho e julho de 2026, mostra que a Datadog está na vanguarda dessa proteção.
Linha do tempo
Datadog lança GuardDog, seu projeto de código aberto para identificar pacotes PyPI maliciosos.
Lançamento do GuardDog 1.0, adicionando suporte a pacotes npm e aprimorando heurísticas.
Datadog lança GuardDog 2.0, com regras customizadas, suporte a módulos Golang e introdução da varredura YARA.
Uv lança auditoria nativa de vulnerabilidades e verificação de malware em modo preview.
Uv adiciona varredura nativa contra vulnerabilidades e malware para proteger desenvolvedores.
Datadog lança GuardDog 3.0, fortalecendo a defesa contra pacotes maliciosos.
Perguntas frequentes
O que é o GuardDog da Datadog?
GuardDog é um scanner de código aberto da Datadog focado na detecção de pacotes maliciosos em ecossistemas como PyPI (Python) e npm (Node.js). Ele ajuda a proteger a cadeia de suprimentos de software identificando ameaças antes que sejam integradas aos projetos.
Qual a principal diferença do GuardDog 3.0 em relação às versões anteriores?
A versão 3.0 substitui o Semgrep pelo YARA como motor principal de varredura, tornando-a mais rápida e eficiente. Ela também introduz um motor de risco aprimorado que correlaciona diversos indicadores de ameaça para atribuir uma pontuação de maliciosidade mais precisa.
Como o GuardDog 3.0 protege o próprio processo de varredura?
O GuardDog 3.0 realiza todas as suas varreduras por padrão em um sandbox Nono. Este sandbox restringe o acesso ao sistema de arquivos e à rede, isolando o scanner e impedindo que pacotes maliciosos explorem vulnerabilidades no GuardDog durante a análise.
O GuardDog 3.0 utiliza IA ou análise dinâmica de código?
Não, o GuardDog 3.0 é uma ferramenta de análise estática e não utiliza IA (LLMs) nem executa o código dos pacotes que escaneia. Ele segue uma filosofia de design que foca na análise do código-fonte sem execução, garantindo a segurança do processo.
Fontes
- securitylabs.datadoghq.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 13 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

