概要

Application Vulnerability Management には、サービスのオープンソース依存部分で検出された脆弱性について警告する検出機能が組み込まれています。その情報の詳細は、Vulnerability Explorer に表示され、重大度、影響を受けるサービス、潜在的に脆弱なインフラストラクチャー、および表面化したリスクを解決するための改善手順が特定されます。

ASM の互換性を確認し、ご利用のサービスが対応しているかどうかをご確認ください。

脆弱性対策と改善策の検討

Vulnerability Explorer は、Application Vulnerability Management によって検出された脆弱性の完全なリストをすべてのサービスにわたって表示し、重大度に基づいて脆弱性を並べ、問題を調査して優先順位を付けることができるようにグループ化およびフィルター機能を提供します。オープンソースの脆弱性については、影響を受けるサービスの数、影響を受けるライブラリの言語、およびその脆弱性が最後に検出された時刻を表示します。

Application Vulnerability Management エクスプローラーページ。

特定の脆弱性を選択すると、どのサービスが影響を受けているかなど、その詳細が表示されます。ここから、どのコンテナやインフラストラクチャーがその脆弱性の影響を受ける可能性があるかを調べることができるので、リスクの範囲についてより詳しく知ることができます。これは、改善タスクの優先順位を決定するための貴重な情報となります。

ASM 内では、脆弱性の重大度は、攻撃の有無や脆弱性が検出された環境のビジネス上の機密性を考慮し、基本スコアから修正されます。例えば、本番環境が検出されない場合は、重大度が軽減されます。

調整後の脆弱性スコアは、各サービスの完全なコンテキストを含んでいます。

  • 元の脆弱性の重大度
  • 不審なリクエストの証拠
  • 機密性の高い環境、インターネットに接続された環境
変更された重大度スコアを表示する脆弱性詳細ページ

また、エクスプローラーでは検出された脆弱性に対する改善勧告が表示され、脆弱性のステータスを変更したり、チームメンバーに割り当ててさらに検討させたりすることができます。また、各脆弱性の背景を理解するのに役立つ Web サイトや情報源へのリンクやリファレンスのコレクションも含まれています。

Application Vulnerability Management の脆弱性の詳細ページでは、影響を受けるサービス、インフラストラクチャーへのリンク、推奨される改善策、および詳細情報へのリンクが表示されます。

オープンソースの脆弱性の管理

Application Vulnerability Management は、アプリケーションで使用されているオープンソースライブラリをランタイムに検出し、それらに関連するセキュリティ脆弱性を報告します。これを行うために、Application Vulnerability Management は、様々な公共のオープンソースソフトウェアの既知の脆弱性データソースと、Datadog のセキュリティ調査チームが取得したデータを組み合わせています。Datadog はソースコードをスキャンせず、アプリケーションの実行時の挙動をもとに分析します。

コードレベルの脆弱性の管理

Application Vulnerability Management のコードレベルの脆弱性検出はベータ版です。お客様のサービスでご利用になる場合は、セットアップの手順に従ってください。

Datadog は、ソースコードをスキャンすることなく、脆弱性が存在するファイル名と行番号を示すことができます。

発見できるコードレベルの脆弱性タイプは以下の通りです。

  • 弱い暗号
  • 弱いハッシュ
  • SQL インジェクション
  • パストラバーサル
  • LDAP インジェクション
  • コマンドインジェクション
  • サーバーサイドリクエストフォージェリー (SSRF)
  • 安全でないクッキー
  • HttpOnly フラグのないクッキー
  • SameSite フラグのないクッキー
  • 無効なリダイレクト

コードレベルの脆弱性検出機能の無効化

Vulnerability Management のコードレベルの脆弱性検出機能を無効にするには、アプリケーション構成から DD_IAST_ENABLED=true 環境変数を削除し、サービスを再起動します。

さらにサポートが必要な場合は、Datadog サポートにお問い合わせください。

APM ビューにおけるリスク情報

Application Vulnerability Management は、APM がすでに収集している情報をリッチ化し、現在の脆弱性勧告と一致するライブラリにフラグを立てます。潜在的に脆弱なサービスは、APM サービスカタログに組み込まれたセキュリティビューで直接ハイライト表示されます。

APM サービスカタログに表示される脆弱性情報

その他の参考資料