ただの雑記

アラサーエンジニアが適当に書き散らかしてます。

脆弱性の報告について調べてみた。

授業でシステムの脆弱性について少し調べてみた。

国内は比較的わかりやすく、JPCERT/CCIPAに報告をすると、(JPCERT/CC|IPA)が開発者に連絡をとり対応してくれる。
また、JVN(Japan Vulnerability Notes)という脆弱性データーベースに登録され、識別番号が振られ公開される。 (公開は、開発者などへの対応が一通りすんでから・・・のはず。) ちなみに、JPCERT/CCはCVE番号も発行できる。

CVE番号は、米国政府から脆弱性データベースの管理運営の委託を受けているMITRE社が管理する脆弱性データベース(CVE)で振られている番号。
アメリカの標準は世界の標準!という勢いで、事実上世界共通の管理番号。

そしてアメリカの脆弱性はUS-CERTというところが受け付けていて、NISTという団体が管理しているNVD(National Vulnerability Database)という脆弱性データベースに登録してCVEの詳細なんかを告知している。後NISTではCVSS と呼ばれる脆弱性の深刻度を表す評価値の提供も行っている。

でもUS-CERT自体も告知しているし、今ひとつUS-CERTとNISTとCVEの関係が理解出来ていない。 とりあえず米国政府がITの脆弱性とかに本気で取り組んでる感じは分かった。

とりあえず最近日記を書かなすぎなので、とりあえず中途半端な理解だけれども書いてみた。