Common Vulnerabilities and Exposures (CVE)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/02/27 05:53 UTC 版)
「脆弱性情報データベース」の記事における「Common Vulnerabilities and Exposures (CVE)」の解説
MITRE社が1999年に前述の「セキュリティ脆弱性のデータベースについての研究ワークショップ」で提案し、実現化させた脆弱性情報データベースである。他の脆弱性情報データベースと異なり、内容がベンダ依存でない(業界標準名が用いられている)ことが利点として挙げられる。なお、MITRE社はCVEをデータベースではなく辞書だとしている。その真意は、CVEの目的は「識別可能性の確保=個々の脆弱性に固有のCVE番号を割り当て、CVE番号によって脆弱性を識別可能とすること」と「命名=個々の脆弱性に(業界標準的な)名前を付けること」であり、詳細情報は外部サイトや他の脆弱性データベースに任せるというものである。 CVEへの報告はCVE Editorial Boardによって行なわれるが、報告は「過去にCVE Editorial Boardへの報告を行なったことがあるもの」であるか、「過去にCVE Editorial Boardへの報告を行なったことがあるものによる仲介」を必要とする。報告が行なわれると、その情報にはCAN番号(CAN-西暦年-4桁以上の通番)という番号が割り当てられる。その後、報告された脆弱性情報のCVE Editorial Boardによる評価が終わった後、CVE番号(CVE-西暦年-4桁以上の通番)となる。評価の結果、複数のCAN番号が同一の脆弱性を示しているなら同じCVE番号が割り当てられることとなり、逆に、1つのCAN番号に複数の脆弱性が盛り込まれている場合は複数のCVE番号が割り当てられることとなる。 なお、2013年までのCVE番号は、「CVE-西暦年-4桁通番」の形式で振られていたが、報告される脆弱性が増加し、年間で1万件を超えて4桁では足りなくなることが確実となったことから、2014年1月1日からは、通番部分が4桁以上と改定された。 「Common Vulnerabilities and Exposures」も参照
※この「Common Vulnerabilities and Exposures (CVE)」の解説は、「脆弱性情報データベース」の解説の一部です。
「Common Vulnerabilities and Exposures (CVE)」を含む「脆弱性情報データベース」の記事については、「脆弱性情報データベース」の概要を参照ください。
- Common Vulnerabilities and Exposuresのページへのリンク
