JVN
Japan Vulnerability Notes
日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。
脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。
パートナーシップの分は「調整された」上で公開される🐰
JVN では、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表しています。掲載内容は、脆弱性が確認された製品とバージョン、脆弱性の詳細や分析結果、製品開発者によって提供された対策や関連情報へのリンクなどで、対策にはパッチだけではなく回避策(ワークアラウンド)が掲載される事もあります。
脆弱性識別番号
JVN#12345678
JVNVU#12345678
JVNTA#12345678
ベンダと情報セキュリティ早期警戒パートナーシップ
ベンダ (製品開発者)
「情報セキュリティ早期警戒パートナーシップ」に参加しているベンダ (製品開発者)から提供された情報
たぶんパートナーになると「待ってくれ、こういう体裁にして公開してくれ」みたいな調整ができる?🐰
JVN iPedia
JVN iPedia - 脆弱性対策情報データベース
JVN以外にも幅広く集めてる
JVN iPediaは日々発見される脆弱性対策情報を蓄積することで幅広くご利用いただくことを目的としています。JVNに掲載される脆弱性対策情報のほか、国内外問わず公開された脆弱性対策情報を広く公開対象とし、データベースとして蓄積しています。
登録性ではなく「勝手に集めてる」
脆弱性対策情報が公表されてから一週間程度を目安に公開しています。なお、信頼性のある情報を蓄積することやベンダの対応状況、優先度、発見される脆弱性の件数等との兼ね合いもあり、公開時期が遅れてしまう場合があります。予めご了承ください。
パートナー向けの調整とかもありそう🐰
sources
JVN に掲載される情報(VN-JP、VN-VU、TA)
米国NIST(National Institute of Standards and Technology)が運営するNVD(National Vulnerability Database)
国内ベンダ
API
MyJVN API
検索はid指定か文字列部分一致
Tools
mjcheck4
MyJVN - MyJVN 脆弱性対策情報フィルタリング収集ツール
%localappdata%\mjcheck4
JVN iPediaのGUIラッパー
1:グループをつくる
ベンダ名、そのベンダの製品名という形で絞り込んで製品を登録
収集基点日も必要なら変える
完了すると、その製品たちのその基点日以降の脆弱性情報が取得されてくる
2:そのグループを選んで「確認」ボタンを押すと脆弱性情報見れる画面
グループはSBOMでエクスポートできる
が、なぜかSWID……🐰
CVSS計算ソフトウェア
CVSS計算ソフトウェア多国語版
ブラウザでパラメータ変えながらスコアがどうなるかを見れる
第二印象
表記ゆれどうするんだろうと思ったが、API側に組み込んである名前を表示・選択させるタイプなので関係無い
ベンダ一覧、1000件くらいはありそうだった
一覧取りたいけどmjcheck4では機能無かった
直接API叩けばいいんか?🐰
「情報セキュリティ早期警戒パートナーシップ」が気になってる
---
Links From <- tilscb
Links To -> SBOM SWID