これは何?
Datadog Agentにて脆弱性が発生した場合、どのように周知および通知されるのかを確認したため、備忘録として記事にします。
注意事項
- 本内容は2024/06に調査及び確認した内容になります。
- 契約しているサポートプラン及び再販会社により異なる場合があります。
確認結果
ドキュメントを確認した限りだと掲載基準などの記載が見当たらず、Datadogサポートへ確認。
以下回答をいただきました。
質問1.Datadog Agentにて脆弱性が発覚した場合、公式サイトやメールなどでの周知をされるなどの規定はございますでしょうか。
回答
Datadog Agentに脆弱性が発生した場合、弊社からAdmin Roleのユーザ様へメール及びアプリで通知いたします。
脆弱性通知のクライテリアは、Datadog Agent もしくはアプリケーションがお客様の環境に重大な影響を与えていることでございます。
なお、アプリケーションパフォーマンスの低下については、脆弱性通知に該当しなくご了承いただければ幸いです。
また、以下のサイトよりSUBSCRIBE TO UPDATES ボタンをクリックし、Emailアドレスを入力頂くことで障害発生時にメールで通知が受け取れるようになります。
https://status.ap1.datadoghq.com/#
https://datadogintegrations.statuspage.io/
※WEBサイト内でもステータスが確認できます。
質問2.CVSS7以上の場合は連絡をするなどの細かい基準はありますでしょうか。
回答
詳細な基準については、確認が出来ませんでした。
ご希望に沿えず申し訳ございません。
まとめ
Datadog側にて通知をしてくれる場合もあるが、明確な基準はこちら側からは確認することが難しいとの事。
その為、通知されるのを待つだけではなく、ユーザー側にて脆弱性対策情報(JVN)などの脆弱性情報サイトを確認する必要があると思われます。
余談
Datadogのベストプラクティスとして「Agentの更新は毎月を目標に」というのがあります。
Datadog は、Datadog Agent をマイナーリリースとパッチリリースごとに、または少なくとも毎月更新することをお勧めします。
https://docs.datadoghq.com/ja/agent
なので、Datadogとしては「情報を周知する前に定期的にアップデートして脆弱性を回避できるように」してくれ方式なのかもしれません。
それができたら苦労しないというのは別の話