Datadog-Metrics 0.8.1 包含 4 个漏洞，最高严重性 9.8，但被标记为“不可达”

Datadog 的官方 Node.js 客户端库 `datadog-metrics` 的 0.8.1 版本被发现包含四个安全漏洞，其中最高严重性评分为 9.8 的“严重”级别。然而，漏洞扫描报告将这些漏洞标记为“不可达”，这一状态可能引发对依赖项安全评估真实风险的质疑。核心问题源于一个名为 `minimist` 的第三方库的过时版本，该库因原型污染漏洞（CVE-2021-44906）而臭名昭著，CVSS 评分高达 9.8。

具体而言，漏洞存在于 `[email protected]` 所依赖的 `[email protected]` 中。这是一个传递性依赖，意味着它并非由开发者直接引入，而是通过主库间接带入项目。报告明确指出，该漏洞在 `datadog-metrics` 的 0.8.2 版本中已得到修复。然而，扫描工具将漏洞标记为“不可达”，这通常意味着在特定代码库的上下文中，存在漏洞的函数可能未被实际调用，从而在理论上降低了直接被利用的风险。

这种情况凸显了现代软件供应链中的一个关键困境：即使上游依赖包含已知的高危漏洞，自动化工具也可能根据代码可达性分析得出“低风险”结论。这给开发者和安全团队带来了评估优先级和修复紧迫性的挑战。虽然修复方案明确存在（升级至 0.8.2+），但“不可达”的标签可能导致修复被延迟或忽视，从而在依赖关系或应用行为发生变化时，无意中留下潜在的攻击面。对于使用该旧版本库的任何项目，这构成了一种隐蔽的、条件性的安全债务。