Shikata Ga Nai

Private? There is no such things.

CWEとCVSSについてまとめてみた

Hello guys!

 

CVEで脆弱性情報はわかったものの。

量が量だけに多すぎて。

なので、カテゴリ別に分類がほしいところ。

そこでCWEの出番かと。

 

CWE

 Common Weakness Enumeration

 共通脆弱性タイプ一覧


 現時点だと、

  ・ビュー(View)

    ┗ 22個

  ・カテゴリー(Category)

    ┗ 105個

  ・脆弱性(Weakness)

    ┗ 638個

  ・複合要因(Compound Element)

    ┗ 12個

 の脆弱性タイプに分類されているようで。

 

https://cwe.mitre.org/index.html

 

f:id:ThisIsOne:20191127183807p:plain

 

今度は、脆弱性の重要度もピンキリでして。

膨大な量の脆弱性をすべて同じような危機感をもって対応するにしても大変でして。

脆弱性の危険度を数値化表現したものがCVSSで。

 

CVSS

 Common Vulnerability Scoring System

 共通脆弱性評価システム

 

https://jvndb.jvn.jp/cvss/ja/v3.html

 

f:id:ThisIsOne:20191127190603p:plain

 

しかしながら実際に計算するのは面倒だったりもして。

下記のJVNのページを見ると表示されていたり。

 https://jvndb.jvn.jp/index.html

 

f:id:ThisIsOne:20191127191246p:plain

 

Best regards,