Hello guys!
脆弱性情報については、いろんな用語がでており。
整理しないと混乱するのは目に見えており。
まずは、『CVE』から。
CVE
Common Vulnerabilities and Exposures
米MITRE社が提供している脆弱性情報データベース。
・CVE-ID
共通脆弱性識別子
『CVE-YYYY-XXXX』: YYYYは年、XXXXは一意の番号。
※世の中の脆弱性情報を一意に管理するためのID
https://cve.mitre.org/index.html
この脆弱性情報データベースは、各国でも持っており。
NVD
National Vulnerability Database
NIST(アメリカ国立標準技術研究所)が管理している脆弱性情報データベース。
JVN
Japan Vulnerability Notes
JPCERT/CCとIPAが共同で管理している脆弱性情報データベース。
※CVEと紐づかないものは日本特有のもの
今度は、これらの脆弱性に対しての対策というのもあり。
JVN iPedia
国内外問わず公開された脆弱性対策情報を蓄積したデータベース。
※JVNと名称についているが、JVNだけではない
https://jvndb.jvn.jp/index.html
他にCVSSやCWEも重要だったりもして。
その前に、一度ここまでを整理しておいたほうがよさそうな。
イメージとしては、
『CVE』⇨『NVD』『JVN』⇦『JVN iPedia』
Best regards,
