Skip to content
Latchkey

CVEとは?既知の脆弱性の普遍的なID

CVE(Common Vulnerabilities and Exposures)は、特定の既知のセキュリティ脆弱性に割り当てられた一意の公開識別子で、誰もがそれを同じように参照できるようにします。

CVE以前は、異なるベンダーが同じ欠陥を異なる言葉で説明しており、修正の調整は混沌としていました。CVEは各脆弱性にCVE-2021-44228のような1つの正規のIDを与え、scanner、advisory、ベンダーなど誰もがそれを使って同じものを意味します。これは脆弱性管理の共通語彙です。

CVE IDの構造

CVE IDはCVE-YYYY-NNNNNのような形です。プレフィックス、割り当てられた年、シーケンス番号です。ID自体はただの名前で、詳細(影響を受けるバージョン、説明、参照)は関連するレコードに存在します。

誰が割り当てるのか

CVEプログラムが、主要ベンダーや調整機関のような採番機関(CNA)とともにIDを割り当てます。脆弱性が公開されると、ツールと人間が一貫して追跡できるようにCVEが付与されます。

CVEがスキャンを支える方法

  • 脆弱性データベースはfindingをCVE IDでインデックス化する。
  • scannerはあなたのコンポーネントを影響を受けるバージョン範囲と照合する。
  • advisoryはCVEを参照し、詳細を読めるようにする。
  • 重大度スコア(CVSS)が優先順位付けのためにCVEに付随する。

CVEが教えてくれないこと

CVEは欠陥が存在することを教えますが、あなたが悪用可能な状態にあるとは教えません。リスクのある方法で決して呼び出さない脆弱なライブラリは、実際のリスクがほとんどないかもしれません。CVEに文脈(reachability、露出)を加えたものが、実際に優先順位付けを左右します。

パイプラインの中のCVE

依存関係とコンテナのscannerはfindingを重大度付きのCVE IDとして報告するため、CI gateが何をブロックするかを判断できます。SBOMを維持していれば、新しいCVEが登場したとき、あなたのbuildのいずれかが影響を受けるかどうかを即座に判断できます。

重要なポイント

  • CVEは1つの既知の脆弱性に対する一意の公開IDです。
  • scanner、advisory、ベンダーに共通の参照を与えます。
  • CVEは存在を示すもので、悪用可能性ではありません。文脈が実際の優先度を左右します。

関連ガイド