3.2 KiB
3.2 KiB
cve-research
CVE,NVD,JVN iPediaの活用方法および脆弱性について
製品名や日本語で検索が可能です
基本知識
CVE (Common Vulnerabilities and Exposures)
世界共通の脆弱性識別子 「この脆弱性は何か」を一意に特定するID
公式サイト: https://cve.mitre.org 特徴:
- CVE ID の存在確認が主目的
- 技術詳細はやや少なめ
形式:
CVE-2024-12345
- CVSS (Common Vulnerability Scoring System)
- 脆弱性そのものではなく「深刻度の評価指標」
CVSS v3.1 Base Score: 9.8 (Critical)- 攻撃のしやすさ
- 影響範囲
- 機密性・完全性・可用性
- 7.0以上: 要対応-9.0以上: 緊急
- CWE (Common Weakness Enumeration)
- 脆弱性の種類・設計ミスの分類
CWE-798: Use of Hard-coded Credentials
その他見るポイントについて
- Attack Vector
- NETWORK → 特に危険
- Authentication
- None = 未認証で攻撃可能
- Affected Versions
- 自分の使っているバージョンが含まれるか
NVD (National Vulnerability Database)
一番よく使われるCVEのデータベース 実務ではほぼここを見る。OSSの脆弱性調査もここが定番です。
- 運営: NIST(米国)
- URL: https://nvd.nist.gov
- 特徴:
- CVE + CVSS + CWE を網羅
- 機械可読(JSON API)
- NVDはAPIを提供しています。
- 少量利用 → APIキー不要
- 多量アクセス → 無料APIキー取得可
https://services.nvd.nist.gov/rest/json/cves/2.0
JVN iPedia(日本語)
日本語で確認したい場合のデータベース
- 公式サイト: https://jvndb.jvn.jp
- 特徴
- 日本語解説あり
- 国内ベンダー・OSS対応
- CVEと完全対応
その他セキュリティで有名なAPIやツール
- cve.circl.lu
- 「CVE情報を取得するための軽量な公開API / DB」
- 運営: CIRCL(ルクセンブルクのCERT)
- 無料・登録不要
- REST API で直接叩ける
- OSS / 学習 / 個人ツール向け
- API例:
https://cve.circl.lu/api/cve/CVE-2023-27524
- Trivy
- 「実際の環境をスキャンする脆弱性スキャナ」
- 開発: Aqua Security
- OSS(無料)
- 超定番
- ローカル / CI / Docker / Kubernetes対応
- スキャンできるもの
- Dockerイメージ、ファイルシステム、OSパッケージ、言語依存関係(pip / npm / etc0)
- IaC(Terraform など)
- 実行コマンド例:
trivy image apache/superset:latest - 実行内容
- NVD / OSV などのDBを取得
- 依存関係と照合
- CVSSスコア付きで結果表示
- Dependabot
- 提供: GitHub
- GitHub上なら無料
- リポジトリ単位で有効化
- 機能の内容
- requirements.txt / package.json などを監視
- 脆弱なライブラリを検知
- 修正版へのPRを自動作成
- 例:
requests 2.28.0 に CVE-XXXX があるので
2.31.0 へ更新するPRを作りました
- 確認内容
- GitHub Advisory DB
- NVD / OSV
- CVEを意識しなくても勝手に対処が進む
- 使いどころ
- GitHub運用
- OSS / SaaS
- ライブラリ中心のアプリ