脆弱性評価システムを作る〜CVEとは〜

週間・脆弱性評価システムを作ろう〜CVEとは〜

諸所事情があり、端末やサーバーにインストールされ値得るソフトウェアについて、公開済されている脆弱性情報を取得し、一覧ファイル化するシステムを作ることになりました。
CVE、CPEなどの情報を提供しているサイトから取得し、ローカルデータベースへタンキング→導入済み製品のデータベースと付き合わせして脆弱性があればその情報をExcelファイルで一覧表示する仕組みです。
HTML化も考えたのですが、100件ずつ表示して次のページのリンクつけて、、、とかやるのがちょっと面倒なのでやめました。

まずは、脆弱性情報はどのような情報があり、どこから取得できるのかの調査を...と言いたいところなのですが、そこは手癖の悪い私のことで、Rest APIで情報をダウンロードして、その情報をExcelファイル化するところまでは完成しております。
ということで、後付けになってしまうのですが正しい知識を身につけるべくあらためて勉強を開始しました。

脆弱性情報は、CVE、CPE、CWE および CVSSという情報によって構成されています。
それぞれの正式名称と概要についてまとめていきます。大体は、IPAおよびChatGPtから取得させていただいた情報となっております。

CVE(Common Vulnerabilities and Exposures)

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

CVE識別番号(CVE-ID)

共通脆弱性識別子CVEでは、『プログラム上のセキュリティ問題』を一意に識別するために、脆弱性に対してCVE識別番号を付与します。
このCVE識別番号は「CVE-西暦-連番」と構成されており、セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家で構成されるCVE Editorial Boardと呼ぶ機関が、報告のあった脆弱性を評価し割り当て作業を行っています。

(1)脆弱性の概要(Description)

割り当てられたCVE識別番号に関する脆弱性の概要で、プログラム自身に内在する『プログラム上のセキュリティ問題』が、どのような問題であるかという内容が記載されています。

(2)参考URL(References)

割り当てられたCVE識別番号に関連する脆弱性関連情報の一覧で、CVE情報源サイトや製品開発ベンダサイトのURLなどがリストアップされています。

(3)ステータス(Status)

割り当てられたCVE識別番号の進捗状態で、「候補(Candidate)」と「登録(Entry)」の二つがあります。
「候補(Candidate)」は、割り当てられたCVE識別番号が脆弱性に該当するかどうかを検討中であることを示しています。
「登録(Entry)」は、割り当てられたCVE識別番号が承認され、報告された内容が脆弱性であると判断されたことを示しています。


CVE互換の認定プロセス

CVE互換の認定プロセスは、「宣言」「評価」の2ステップから構成されています。

(1)ステップ1:宣言

CVE互換の認定を希望する組織が、ツールやサービスがCVE互換の認定要件を満たすよう対応していくという意思表示のフェーズで、次のような手続きを行う必要があります。
既にCVE互換の認定を受けたツールやサービスを調査し、CVE互換の認定を受けるための要件と推奨事項を調査します。
MITRE社に「CVE互換性宣言(CVE Compatibility Declaration)」フォームを請求した後、必要事項を記載し、返送します。
MITRE社より「宣言フォーム(declaration form)」、「互換性製品サービス組織ウェルカムキット(Compatible Product Service Organization Welcome Kit)」が送付されてきますので、CVE互換の認定要件について確認します。
必須要件である、「CVE表示」「CVE検索」「CVE文書整備」の3条件を満たしている場合には、「CVE互換性要件評価(CVE Compatibility Requirements Evaluation)」フォームを取得でき、ステップ2のCVE互換の評価フェーズに進むことができます。

(2)ステップ2:評価

審査機関であるMITRE社から、CVE互換の認定を受けるための評価フェーズです。CVE互換の認定を希望する組織から提出された「CVE互換要件評価フォーム」(要件をどのように満たしているのかを詳細に記載した申請書)を元に、審査が行なわれます。
ステップ1の完了時にMITRE社より取得した「CVE互換性要件評価(CVE Compatibility Requirements Evaluation)」フォームに必要事項を記載した後、印刷および署名した文書一式を郵送し、その電子データをメールで送付します。
提出された文書に基づき審査が行なわれ、認定登録のための関連情報がCVE識別番号管理サイトに掲載されます。また、MITRE社の指示に従い、登録に関する情報の修正を実施します。
これらの作業がすべて終了すると、CVE識別番号管理サイトにCVE互換の認定を受けた組織として掲載され、また、ツールやサービスでのCVE互換の認定ロゴ使用許可が与えられることになります。

CVEに関する詳細な情報はIPAサイトに載っていますので、そちらを参照ください。
IPA 共通脆弱性識別子CVE概説

resp = requests.get("https://example.com/api") if resp.status_code == 429: retry_after = int(resp.headers.get("Retry-After", 10)) print(f"Too many requests. Retrying after {retry_after} seconds.") time.sleep(retry_after)

コメント

コメントを投稿

このブログの人気の投稿

【python】PySide6 におけるウィンドウとかダイアログボックス内のアイテムの自動調整

PySide6 におけるウィンドウとかダイアログボックス内のアイテムの自動調整 PySide6などに同封されるDesignerでWindowやDialogを作成する際、verticalLayoutWidgetをまず画面いっぱいに配置して、その中にhrizonalLayoutWidgetを配置して、、、とGUIを作成していきます。 ただ、Designer上でverticalLayoutWidgetの設定を「SetDefaultConstraint」にする方法がわからず、毎回 GitHub Copilotに修正してもらっていたのですが、現在 GitHub Copilotの1ヶ月間で使用できる無料の範囲を使い切ってしまったので、ChatGPTに質問してみました。 質問内容はただ単に、ダイアログボックスとかの大きさにあわせてverticalLayoutWidgetを動的にサイズ変更したい、という至ってシンプルな内容です。 #before <property name="sizeConstraint"> <enum>QLayout::SizeConstraint::SetFixedSize</enum> </property> #after <property name="sizeConstraint"> <enum>QLayout::SizeConstraint::SetDefaultConstraint</enum> </property> 本当はDesignerから変更する方法がわかれば手っ取り早いのですが、今はこれで妥協しておきます。
続きを読む

脆弱性評価システムを作る〜CVSSとは〜

週間・脆弱性評価システムを作ろう〜CVSSとは〜 前回に引き続いて脆弱性情報についてです。今回はCVSSについてまとめました。 ソースは引き続きIPAとChatGPTとなります。 CVSS ( Common Vulnerability Scoring System) とは 共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 CVSS は、情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法を提供しています。CVSSを用いると、脆弱性の深刻度を同一の基準の下で定量的に比較できるようになります。また、ベンダー、セキュリティ専門家、管理者、ユーザ等の間で、脆弱性に関して共通の言葉で議論できるようになります。 CVSSでは次の3つの基準で脆弱性を評価します。 CVSSの目的 標準化された評価   ベンダーごとに異なっていた脆弱性の深刻度表現を標準化し、共通の尺度で評価します。 定量的な評価   脆弱性の深刻度を0.0から10.0の数値で定量的に表現し、比較可能にします。 共通の言語   セキュリティ担当者、ベンダー、ユーザーな...
続きを読む

dict型オブジェクトを内包するlistオブジェクトのコピー

dict型オブジェクトを内包するlistオブジェクトのコピー(代入)をしたくて、当初は以下の通り行っていたが、これだと値ではなく、参照渡しがされてしまってい るようで、 work_driverPaths を変更すると driverPaths の方にもその結果が反映されてしまった。 self.work_driverPaths = self.driverPaths そのため、以下の通り copy ライブラリの deepcopy を使用して解決。 self.work_driverPaths = copy.deepcopy(self.driverPaths) コパイロットぴ◯ょん君の回答 list型とdict型を併用した場合に参照渡しが発生する要因 = で代入するときの動作だね。代入した側のオブジェクトとオリジナルのオブジェクトがリンクすることについて気づいたかな? 実際、 = は 浅いコピー(shallow copy) を作るだけなので、両方のオブジェクトが同じ参照を共有してしまうんだ。 deepcopyの機能について 深いコピー : オリジナルのオブジェクトとそのコピーが完全に独立して動作する。 再帰的処理 : 内部のネストされたオブジェクトもすべてコピーする。 安全性 : オリジナルを変更してもコピーには影響がない。
続きを読む